Kontroll og overvåking i arbeidslivet

Rapport | Dato: 20.01.2003 | Arbeids- og inkluderingsdepartementet

Opprinnelig utgitt av: Arbeids- og administrasjonsdepartementet

Rapport fra undervalg til Arbeidslivslovutvalget.

Avlevert til Arbeidslivslovutvalget 20. juni 2002.

Innhold

Innledning
Tema og utgangspunkter
Internasjonal rett
Nordisk rett
Oversikt over rettstilstanden i Norge
Underutvalgets vurderinger – disposisjon
Vurdering av rettstilstanden
Regulatoriske spørsmål – plassering av regler
Skisse til lovstruktur – alternative løsninger
Materielt innhold – sentrale avveininger
Skisse til noen hovedregler
Avslutning
Vedlegg 1: Europa-parlamentets og rådets direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.
Vedlegg 2: Lov om behandling av personopplysninger
Vedlegg 3: Tilleggsavtale V til Hovedavtalen mellom LO og NHO –
Vedlegg 4 Lag om integritetsskydd i arbetslivet (Finland)
Vedlegg 5 Lov om brug af helbredsoplysninger m.v. på arbejdsmarkedet (Danmark)
Vedlegg 6 Förslag till Lag om skydd för personlig integritet i arbetslivet (Sverige)

Innledning

Underutvalgets mandat sammensetning og arbeid

Arbeidslivslovutvalget skal i følge sitt mandat vurdere behovet for lovregulering av kontroll og overvåking i arbeidslivet. Utvalget skal ta stilling til behovet for lovregulering av når og på hvilke måter ulike former for kontroll av arbeidstakere skal være tillatt. Dersom utvalget kommer til at det foreligger behov for lovgivning på dette området, skal det fremmes forslag til konkrete lovbestemmelser. Utvalget skal i sine vurderinger foreta en avveining mellom arbeidstakernes krav på integritetsvern mot arbeidsgivernes saklige interesser i å kunne iverksette kontroll- og overvåkingstiltak.

Arbeidslivslovutvalget besluttet 20. november 2001 å nedsette et underutvalg som skulle arbeide med spørsmål tilknyttet kontroll og overvåking i arbeidslivet. Underutvalgets arbeid ble knyttet opp til punktet om kontroll og overvåking i Arbeidslivslovutvalgets mandat, hvor det bl. a. heter:

"Utvalget skal vurdere behovet for en lovregulering av når og på hvilke måter ulike typer kontroll og overvåking skal være tillatt.".

Underutvalget skulle i første omgang arbeide frem mot Arbeidslivslovutvalgets møte 15. januar 2002.

Underutvalget har hatt følgende sammensetning:

Advokat Johan Kr. Øydegard, Wiersholm, Mellbye & Bech, Advokatfirma AS, leder

Sekretær Pål Gundersen, Landsorganisasjonen i Norge (LO)

Professor, dr. juris, Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, Universitetet i Oslo

Personalsjef Kari Stautland, Amersham Health AS

Som sekretærer for underutvalget har fungert, Elisabeth Vigerust (frem til primo mars 2002), Rune Ytre Arna (fra primo mars 2002) og Turid Oddum. Sekretærene er alle tilknyttet Arbeidslivslovutvalgets sekretariat.

Pål Gundersen har grunnet sykdom ikke kunnet delta i underutvalgets avsluttende arbeid.

I Arbeidslivslovutvalgets møte 15. januar 2002 holdt hver av underutvalgets medlemmer et foredrag over emnet kontroll og overvåking i arbeidslivet. I samme møte besluttet Arbeidslivslovutvalget at underutvalget skulle videreføre sitt arbeid, med frist medio juni 2002 for ferdigstillelse av rapport til Arbeidslivslovutvalget om kontrollspørsmål i forholdet mellom arbeidgivere og arbeidstakere.

Underutvalget ble i følge protokollen fra Arbeidslivslovutvalgets møte 15. januar 2002, gitt følgende mandat:

”Underutvalget skal i rapporten gi en beskrivelse og vurdering av den faktiske og rettslige situasjonen på området, herunder en beskrivelse av ulike typer tiltak, gjeldende rett og en kort redegjørelse for internasjonale reguleringer som vi er forpliktet av. Underutvalget skal også vise til hvorledes reguleringen i andre EU-/EØS-land er. Underutvalget skal konsentrere seg om de spørsmål dagens reguleringer reiser i et arbeidslivsperspektiv og gjøre rede for de sentrale avveininger som bør ligge til grunn for vurderingen av behovet for ny lovregulering. Underutvalget skal gi en foreløpig konklusjon med hensyn til behovet for lovregulering og skissere opp mulige løsninger (som for eksempel rettslige standarder).”

Det ble presisert at underutvalgets vurderinger skulle begrenses til forholdet mellom arbeidsgivere og arbeidstakere.

Underutvalgets rapport skal danne grunnlag for Arbeidslivslovutvalgets drøftelser og beslutninger i møte 29. august 2002, hvor spørsmålet om kontroll og overvåking i arbeidslivet skal undergis konkluderende behandling.

Underutvalget ønsker å presisere at det foreliggende tema er særdeles sammensatt og komplisert, og at det har hatt liten tid til sine undersøkelser og drøftelser. Det er særlig blitt lite tid til den avsluttende bearbeidelse av underutvalgets rapport. Underutvalget har i rapporten særlig fokusert på de sentrale elementer i mandatet, nemlig beskrivelsen av gjeldende norsk og nordisk rett på området, og de avveininger som etter underutvalgets syn bør stå sentralt ved vurderingen av behovet for ny lovgivning. Underutvalget skisserer også enkelte modeller til materielt innhold i nye regler på området og til lovstruktur. Underutvalget har imidlertid ikke utformet forslag til konkrete lovbestemmelser. Rapporten har følgelig først og fremst preg av å være en kartlegging og analyse av temaet kontroll og overvåking i arbeidslivet, og har som siktemål å kunne være et rettspolitisk grunnlag for Arbeidslivslovutvalgets drøftelser og beslutninger innenfor dette problemområdet.

Det er særlig viktig å være oppmerksom på at det foreligger få skriftlige kilder om forekomsten av kontroll og overvåking i arbeidslivet. Det har ikke vært avsatt ressurser eller tid til egne faktiske undersøkelser fra underutvalgets side. Underutvalget har derfor her i hovedsak vært henvist til å basere sin virkelighetsforståelse på det som fremkommer i norsk og nordisk rettspraksis, norske og nordiske lovutredninger på området, og på sine personlige erfaringer fra den yrkesmessige virksomhet som underutvalgets medlemmer til daglig er beskjeftiget i.

Oversikt over rapporten

Innledningsvis i kapittel 2 gis en oversikt over temaet kontroll og overvåking i arbeidslivet for å gi en tilnærming til hvilke problemstillinger underutvalget har funnet sentrale og som vil bli behandlet videre i rapporten.

Kapitlene 3 og 4 gir en oversikt over internasjonale regler som etter underutvalgets vurdering har særlig relevans for en eventuell norsk lovgivning på området. Det er lagt vekt på å gi en relativt bred gjennomgang av EU’s personverndirektiv og de nordiske lands lovgivning og lovutredninger på tilsvarende områder. I tillegg er det kort gjort rede for internasjonale konvensjoner m. v. vedrørende beskyttelse av den personlige integritet, som Norge er tilsluttet.

I kapittel 5 gis en oversikt over rettstilstanden nasjonalt. Temaet kontroll og overvåking i arbeidslivet er komplekst og sammensatt, og underutvalget har funnet det hensiktsmessig å gi en nokså bredt anlagt gjennomgang av gjeldende rett, både hva gjelder ulovfestede prinsipper, lovregler, og rettspraksis. Det blir i tillegg gjort rede for sentrale avtaler inngått mellom partene i arbeidslivet vedrørende kontroll og overvåking.

Rapportens siste kapitler er viet underutvalgets vurderinger og forslag. Kapittel 6 gir en forklaring på strukturen som er valgt i de avsluttende kapitlene. I kapittel 7 gis en vurdering av behovet for lovregulering generelt og i kapittel 8 drøftes hvor eventuell ny lovregulering bør plasseres. I kapittel 9 presenteres noen alternative skisser til hvordan en særlig regulering av kontroll og overvåking i arbeidslivet kan gjennomføres. I kapittel 10 drøftes hvilke sentrale avveininger som bør vektlegges når det skal vurderes hvilke konkrete regler en slik lovregulering kan og bør inneholde, og avslutningsvis, i kapittel 11, skisseres noen materielle regler underutvalget foreslår bør vurderes lovfestet.

Tema og utgangspunkter

Temaet kontroll og overvåking i arbeidslivet dekker et vidt spekter av tiltak og problemstillinger. Begrepet kontrolltiltak omfatter alt fra vanlig tidsregistrering (stempling) til inngripende undersøkelser av arbeidstakernes helse eller drikkevaner. Tilleggsavtale V til Hovedavtalen mellom LO og NHO (2002 - 2005) om kontrolltiltak i bedriften er illustrerende for det vide spekter av kontrollformål og tiltak dette temaet omfatter. I Tilleggsavtalen punkt 1 er det f. eks. bestemt at kontrolltiltak kan ha sitt grunnlag i teknologiske, økonomiske, sikkerhets- og helsemessige omstendigheter, samt andre sosiale og organisatoriske forhold i bedriften. Oppregningen av formål i Tilleggsavtale V er ikke uttømmende. Tilleggsavtale V er inntatt som vedlegg til rapporten.

Vårt tema aktualiserer to hovedproblemstillinger. Den første problemstillingen gjelder rekkevidden av virksomhetenes adgang til å iverksette kontrolltiltak overfor de ansatte, med en motsvarende plikt for de ansatte til å finne seg i og medvirke til kontrollen. Dette er i utgangspunktet et arbeidsrettslig spørsmål. Rettsgrunnlaget for løsning av tvister om dette spørsmål vil være alminnelige arbeidsrettslige regler, rettsgrunnsetninger om vern om den personlige integritet, og de bestemmelser som for øvrig måtte gjelde mellom partene i det konkrete arbeidsforhold (arbeidsmiljøloven, særlovgivning for bestemte yrkesgrupper, arbeidsavtalen, tariffavtaler osv). Det rettslige utgangspunkt er at kontrolltiltak som virker inngripende i forhold til arbeidstakernes personlige sfære eller integritet ikke er rettmessige med mindre det foreligger en hjemmel for tiltaket. Aktuelle hjemmelsgrunnlag kan være bestemmelser i lov eller forskrift, samtykke fra arbeidstakeren, tariffavtale, arbeidsavtale, arbeidsreglement og arbeidsgivers styringsrett. Hvilke krav som må stilles til rettsgrunnlaget for at kontrollen skal være rettmessig, vil særlig bero på begrunnelsen og behovet for kontrollen, kontrolltiltakets art og på hvor inngripende det vil virke i forhold til den enkelte ansatte. Dette er i og for seg parallelt med det som følger av legalitetsprinsippet på det offentligrettslige området.

Den andre hovedproblemstillingen gjelder spørsmålet om adgangen til å behandle opplysninger om arbeidstakerne som fremkommer som et resultat av kontrolltiltak. Med behandling av opplysninger siktes det her til innsamling, lagring og videreformidling med videre av opplysninger som kan tilbakeføres til bestemte ansatte. Rettsgrunnlaget for behandling av slike opplysninger om arbeidstakere er lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven). Lovens utgangspunkt er at behandling av personopplysninger er forbudt med mindre det foreligger lovhjemmel, samtykke eller en særskilt nødvendighetsgrunn for behandlingen. Det har i rettspraksis, avtaleverk og praksis for øvrig så langt vært lite oppmerksomhet omkring spørsmålet om behandling av personopplysninger som fremkommer som resultat av kontrolltiltak i arbeidslivet.

De to hovedproblemstillingene omhandler i prinsippet to helt forskjellige spørsmål, samtidig som det oppstår en nær indre sammenheng mellom både problemstillingene og regelverkene når temaet kontroll i arbeidslivet skal utredes. For eksempel inngår de overordnede personvernhensyn som ligger til grunn for personopplysningsloven også som sentrale elementer i de arbeidsrettslige regler og retningslinjer som er avgjørende for grunnspørsmålet om selve kontrolltiltakets rettmessighet. Videre er det nokså åpenbart at mange kontrolltiltak vil være formålsløse dersom det ikke er adgang til å behandle de personopplysninger som fremkommer gjennom kontrolltiltaket, f. eks. ved å lagre opplysningene på arbeidstakerens personalmappe eller nedfelle opplysningene i en protokoll fra drøftelsesmøte eller lignende, som så blir lagt i bedriftens og/eller i de tillitsvalgtes arkiv.

En hovedutfordring for underutvalget i det følgende vil være å belyse sammenhengen mellom de to forannevnte hovedproblemstillinger, herunder hvordan de arbeidsrettslige og personvernrettslige hensyn, normer og regelverk virker inn på hverandre. Underutvalget vil forsøke å fastholde dette perspektivet både i beskrivelsene av gjeldende rett og i drøftelsene av mer rettspolitisk art.

Internasjonal rett

Innledning

Vernet av den personlige integritet er nedfelt i internasjonale avtaler som Norge er forpliktet av. De sentrale regelverk er Den europeiske menneskerettighetskonvensjon av 4. november 1950, Europarådskonvensjon nr. 108 om personvern i forbindelse med elektronisk databehandling av personopplysninger og EUs personverndirektiv. Disse reglene har direkte eller indirekte betydning for spørsmålet om regulering av adgangen til kontrolltiltak. Menneskerettighetskonvensjonene er inkorporert i norsk rett gjennom menneskerettsloven¹ og personverndirektivet gjennom personopplysningsloven.²

Fotnote 1) Lov av 21.05.1999 nr 30 om styrking av menneskerettighetenes stilling i norsk rett.

Fotnote 2) Lov av 14.04.2000 nr 31 om behandling av personopplysninger.

Den europeiske menneskerettighetskonvensjon mm

Den europeiske menneskerettighetskonvensjon artikkel 8 nr. 1 slår fast at

”Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.”

Bestemmelsen beskytter retten til privatliv, som er retten til å leve sitt liv uten inngripen fra utenforstående. Dette omfatter rett til så vel fysisk og psykisk integritet som beskyttelse av ære og rykte. Retten til privatliv omfatter også beskyttelse mot overvåking og beskyttelse av informasjon om private forhold.

I norsk rettspraksis er det bygget på det samme allmenne prinsippet om privatlivets fred som konvensjonen er uttrykk for, uten at konvensjonen uttrykkelig er nevnt i premissene. Artikkel 8 er en tolkningsfaktor i forhold til personopplysningsloven. Dette følger av at konvensjonen gjelder direkte som norsk lov (jf menneskerettsloven § 2). Videre slås det i fortalen til EUs personverndirektiv fast at nasjonal lovgivning skal sikre privatlivets fred i arbeidsforhold i samsvar med artikkel 8 nr. 1.

Europadomstolen har tatt stilling til artikkel 8 i flere avgjørelser,³ men disse belyser i begrenset grad de spørsmål som drøftes her. Her kan det imidlertid nevnes at den svenske Arbetsdomstolen i en dom fra 1998 kom til at narkotikatesting av ansatte ved et atomkraftverk ikke var i strid med artikkel 8 (AD 1998 nr. 97). Artikkel 8 er påberopt også etter en dansk voldgiftsavgjørelse vedrørende adgangen til urintesting i arbeidsforhold. I avgjørelsen ble det akseptert at arbeidsgiver (rederiet DFDS) i kraft av styringsretten kunne pålegge arbeidstakerne å avgi urinprøve. Fagforeningen anfører at mangelen på forbud mot urintesting i arbeidsforhold er en krenkelse av artikkel 8.⁴

Fotnote 3) For eksempel Smith and Grady vs Storbritannia (dom av 27 september 1999) og Lustig-Prean og Beckett vs Storbritannia (dom av 27 september 1999) om opplysninger om homoseksualitet og ekskludering fra det britiske forsvaret, samt Leander vs Sverige (dom av 26 mars 1987) om svenske myndigheters innsamling av hemmelig informasjon om en person og bruken av denne informasjonen til å nekte offentlig stilling som krevet sikkerhetsklarering.

Fotnote 4) Kjennelse av 23 februar 2000, jf Ruth Nielsen: ”Persondata og arbejdsgiverens ledelsesret”, i Juridisk Institut, Julebog 2000, København 2000, s 276 Begge avgjørelsene er brakt inn for Europadomstolen. Det foreligger pr. i dag ingen avgjørelser i domstolen i disse sakene.

FN-konvensjonen om sivile og politiske rettigheter artikkel 17 beskytter også den personlige integritet:

”1. Ingen må utsettes for vilkårlige eller ulovlige inngrep i privat- eller familieliv, hjem eller korrespondanse, eller ulovlige inngrep på ære eller omdømme.

2. Enhver har rett til lovens beskyttelse mot slike inngrep eller angrep.”

Også denne konvensjonen er gjort til norsk lov gjennom menneskerettsloven.

En sak er at disse bestemmelsene setter skranker for staten i forhold til den enkelte. En annen sak er om bestemmelsene også setter skranker i forholdet mellom private, typisk i forholdet mellom arbeidsgiver og arbeidstaker (spørsmålet om konvensjonenes horisontale effekt). Europadomstolen har uttalt at staten har en viss plikt til å beskytte private mot andres overtredelse av deres privat- og familieliv. Domstolen har derimot ikke tatt stilling til om dette gjelder i forholdet mellom private. Det kan imidlertid ikke være tvil om at konvensjonenes grunnleggende prinsipp om vern av personlig integritet skal legges til grunn også i arbeidsforhold. Prinsippet er en tolkningsfaktor i forhold til personopplysningsloven, ulovfestede prinsipper osv. Bestemmelsene utgjør antagelig en selvstendig skranke for etablering og gjennomføring av kontrolltiltak.

Europarådskonvensjon nr. 108 om personvern i forbindelse med elektronisk databehandling av personopplysninger fra 1981 er ratifisert av Norge. Konvensjonen gjelder all lagring og behandling av personopplysninger på edb. EUs personverndirektiv bygger på konvensjonen. Personopplysningsloven ble ved vedtakelsen ansett for å være i overensstemmelse med konvensjonen.

ILOs Code of Conduct

International Labour Organisation - ILO - har på dette området ikke noe tilsvarende regelverk som binder Norge. Organisasjonen har imidlertid utarbeidet anbefalinger til medlemsstatene om vern av arbeidstakeres personlige integritet, ”Protection of workers’ personal data: an ILO code of practice” fra 1996. Dette er tale om veiledende retningslinjer om den praksis som bør legges til grunn ved utarbeidelse av lovgivning, kollektive avtaler osv i forhold til behandling av personopplysninger om arbeidstakere. Forarbeidene til den finske loven om integritetsvern i arbeidslivet har en rekke henvisninger til ILOs retningslinjer.⁵

Fotnote 5) Se punkt 4.2 om den finske loven.

Anbefalingene retter seg i hovedsak mot området for personopplysningsloven, som er i tråd med de prinsipper ILO tegner opp. Anbefalingene er imidlertid i flere henseender mer detaljerte. Enkelte punkter går også utenfor personopplysningslovens område. Det vil føre for langt å gjengi alle anbefalingene her, men enkelte punkter som bør ha særlig interesse kan nevnes:

Det bør ifølge anbefalingene være restriktiv adgang til narkotikatesting av ansatte. Slike tester skal bare gjennomføres i samsvar med lov, alminnelig praksis eller internasjonale standarder. Dette betyr at samtykke som hovedregel ikke kan være tilstrekkelig grunnlag for slike tester. I denne sammenheng kan det nevnes at Breisteinutvalgets innstilling⁶ her i store trekk legger seg på samme restriktive linje som ILOs anbefalinger. Utvalget foreslår at arbeidsgiver bare skal kunne pålegge medisinske undersøkelser av arbeidstakere, herunder rusmiddeltesting, der dette er bestemt i lov eller forskrift, ved stillinger som kan medføre særlig sikkerhetsrisiko, eller i tilfelle der det er skjellig grunn til mistanke om at arbeidstaker er påvirket av rusmidler og dette kan medføre fare for noens liv eller helse.
Behandling av personopplysninger skal ikke ha som effekt ulovlig diskriminering.
Arbeidstakere skal ha adgang til å motsette seg personlighetstester.

Noen av punktene i ILOs anbefalinger trekkes inn i denne rapporten i sammenheng med drøftelsen av enkelte særlige spørsmål.

EUs personverndirektiv ⁷

Fotnote 6) NOU 2001: 4, se punkt 5.5.3 og 10.7.2.

Fotnote 7) Se nærmere om direktivet i Michael Wiik Johansen, Knut-Brede Kaspersen og Åste Marie Skullerud: ”Personopplysningsloven med kommentarer”, Oslo 2001, s 48–51.

Bakgrunn, virkeområde mm

Personopplysningsloven bygger på EUs personverndirektiv (95/46/EF) som er en del av EØS-avtalen. Direktivet omfatter til sammen 20 europeiske land, herunder Sverige, Danmark og Finland. EF- og EFTA-domstolens avgjørelser har betydning for forståelsen av loven, men underutvalget kjenner ikke til praksis fra disse domstolene som synes å ha nevneverdig betydning for de spørsmål som drøftes her.

Direktivet gjelder i utgangspunktet for all helt eller delvis elektronisk behandling av personopplysninger og for manuell behandling av opplysninger som inngår eller skal inngå i et personregister (artikkel 3 nr. 1). Direktivet får likevel ikke anvendelse på behandling som gjelder offentlig sikkerhet, forsvar, statens sikkerhet og statens virksomhet på det strafferettslige området (artikkel 3 nr. 2 første strekpunkt). Likeledes er direktivet ikke gjort gjeldende for behandling av personopplysninger "som utføres av en fysisk person som ledd i rent personlige eller familiemessige aktiviteter" (artikkel 3 nr. 2 siste strekpunkt). Det er også gjort viktige unntak for å ivareta ytringsfriheten, se art 9. Bortsett fra unntaket for sikkerhet, forsvar mv, er det gjort tilsvarende (men ikke identiske) unntak i personopplysningslovens virkeområde, se §§ 3 og 7.

Direktivet knesetter et prinsipp om at personopplysninger skal kunne overføres fritt til andre EØS-land og til andre stater som sikrer en forsvarlig behandling av personopplysningene. Europakommisjonen kan fastsette at vernenivået er tilstrekkelig, og har således fastsatt at Sveits har et tilstrekkelig personvern, og at enkeltbedrifter i USA som har sluttet seg til den såkalte Safe Harbor-avtalen skal anses å ha et tilstrekkelig vern. Overføring til land uten et tilstrekkelig vernenivå ("tredjeland") kan skje dersom den enkelte person gir samtykke, eller dersom en av nødvendighetsgrunnene i direktivets artikkel 26 bokstav b - e er anvendelig. Det enkelte lands tilsynsmyndighet kan også gi tillatelse til overføring i konkrete tilfelle dersom den som ønsker å overføre (den behandlingsansvarlige) gir tilstrekkelige garantier. EU har utviklet en standardkontrakt som kan benyttes i slike tilfeller. Personopplysningsloven §§ 29 og 30 gjennomfører direktivets regler, men gjør bruk av en noe avvikende systematikk og begreper. Kommisjonens myndighet til å godkjenne et lands vernenivå som tilstrekkelig, fremgår ikke av den norske loven, men følger av direktivets artikkel 31.

Direktivet har regler om EU-organenes rolle på personvernområdet. Det er i medhold av artikkel 29 nedsatt en Arbeidsgruppe for personvern i forbindelse med behandling av personopplysninger ("Arbeidsgruppen"). Arbeidsgruppen består av en representant for hvert av medlemslandene samt en representant for Kommisjonen. Gruppen skal være et rådgivende og uavhengig organ, som blant annet har til oppgave å undersøke spørsmål knyttet til nasjonale bestemmelser som vedtas i henhold til direktivet (artikkel 30). Arbeidsgruppen skal også uttale seg om vernenivået i tredjeland. Det er også opprettet en komité ("Komiteen") med en representant fra hvert medlemsland, og som bistår når Kommisjonen skal iverksette tiltak og treffe avgjørelser i medhold av direktivet, se art 31. Norge har rett til å møte med én representant for Datatilsynet som observatør uten stemmerett på Arbeidsgruppens møter.⁸

Fotnote 8) Se EØS-komiteens beslutning nr 83/1999 artikkel 2, nest siste avsnitt (trykt som vedlegg 1 i St.prp. nr 34 (1999-2000)).

Direktivet inneholder krav om at de nasjonale tilsynsmyndighetene skal være frie og uavhengige i forhold til staten, se art 28 nr. 1. Nasjonale myndigheter er imidlertid underlagt Kommisjonens avgjørelser etter direktivets art 31, jf. ovenfor.

Kommisjonen (og medlemsstatene) skal oppmuntre til utarbeiding av adferdsregler som skal bidra til en riktig anvendelse av nasjonale regler som vedtas for å implementere direktivet. Medlemsstatene skal fastsette bestemmelser om at yrkessammenslutninger mv, som har utarbeidet utkast til nasjonale adferdsregler eller som har til hensikt å endre eller forlenge nasjonale adferdsregler, skal kunne fremlegge dem for nasjonale myndigheter til uttalelse (se artikkel 27, jf. personopplysningsloven § 42 annet ledd nr. 6).

3.4.2 Formål, grunnleggende prinsipper og materielle regler

Formålet med direktivet er å skape et grunnlag for lik regulering av personvernet i alle landene i EU/EØS-området. Direktivet skal sikre fysiske personer grunnleggende rettigheter og friheter i forbindelse med utveksling av personopplysninger. Særlig viktig er beskyttelse av privatlivets fred. Et vesentlig hensyn bak direktivet er at den enkelte person skal være informert og ha kontroll med opplysninger om seg selv. Samtidig skal direktivet sikre fri flyt av personopplysninger mellom EØS-landene.

Personverndirektivet bygger på visse prinsipper. I det følgende vil underutvalget kort nevne prinsippene sammen med eksempler på bestemmelser i direktivet som kan sies å være utslag av det enkelte prinsipp:

Prinsippet om at opplysninger skal behandles på rimelig og lovlig vis, se særlig artikkel 6 (1) a.
Prinsippet om proporsjonalitet, se for eksempel artikkel 6 (1) c som sier at opplysningene som behandles skal være adekvate, relevante og ikke for omfattende i forhold til de formål de er innsamlet for og/eller senere behandles for.
Prinsippet om formålsangivelse, se for eksempel artikkel 6 (1) b som bestemmer at opplysningene skal innsamles til bestemte, uttrykkelig angitte og berettigede formål samt at senere behandling ikke skal være uforenlig med disse formålene.
Prinsippet om tilstrekkelig informasjonskvalitet, se for eksempel artikkel 6 (1) d som bestemmer at opplysningene skal være nøyaktige og ajourført.
Prinsippet om den enkeltes medbestemmelse og kontroll over opplysninger om seg selv, se for eksempel kravet om samtykke i artikkel 7 a.
Prinsippet om begrenset informasjonsflyt er ikke uttrykkelig regulert i direktivet, men inngår som et element i vilkårene for lovlig behandling av opplysninger, jf. for eksempel vilkårene i artikkel 7.
Prinsippet om informasjonssikkerhet, se særlig artikkel 17 om sikkerhet i behandlingen.
Prinsippet om særlige begrensninger med hensyn til sensitive opplysninger, se artikkel 8 (1).

Det blir ikke her foretatt noen nærmere redegjørelse for det detaljerte innholdet av direktivet, men henvises til fremstillingen av hovedtrekkene i personopplysningsloven, se punkt 5.4. Lovens bestemmelser gjennomfører alle direktivets bestemmelser som fastsetter bestemte atferdsregler og rettigheter for den som er behandlingsansvarlig og registrert.

I hvilken grad stenger direktivet for nasjonal særlovgivning?

Spørsmålet om sektorlover/særregler i forhold til direktivet var lite aktuelt i løpet av de første årene etter at direktivet ble vedtatt, men diskuteres nå i flere EU-land og er under vurdering i EU.⁹ I Norge er helseregisterloven (lov av 18. mai 2001 nr. 24) det første eksempelet på en særlov som fullt ut følger direktivets system. Foreløpig er det imidlertid bare Finland som har vedtatt generelle særregler for arbeidslivet, men også i Sverige er det lagt frem et tilsvarende lovforslag, se kap. 4 om nordisk rett.

Direktivet setter grenser for hvilke regler for arbeidsforhold Norge kan vedta hvis det svekker arbeidstakeres personvern. Vi kan imidlertid utarbeide nasjonal lovgivning som gir et sterkere personvern enn det som følger av direktivet. Lovgivningen må likevel ikke være så streng at den hindrer den frie flyt av personopplysninger innen EØS-området.

De ulike lands gjennomføring av personverndirektivet følger direktivets begrepsbruk og systematikk, og innebærer sammenlignbare vernenivå. Det er imidlertid intet 1:1 forhold mellom direktivet og den enkelte nasjonale lov. Direktivet pålegger heller ikke landene å gjennomføre dets bestemmelser innenfor rammene av én lov, se art 32 første ledd. Selv om alle land har vedtatt en generell lov, er det således også anledning til å vedta særlover.

Underutvalget er av den oppfatning at en særlov for arbeidslivet i alle fall vil kunne inneholde materielle bestemmelser som gir et minst like godt vern som det direktivet foreskriver. Slike bestemmelser bør imidlertid i størst mulig grad bygge på direktivets systematikk og begrepsbruk, slik at sammenhengen mellom de ulike regelverk blir tilstrekkelig klar. En særlov kan også inneholde prosessuelle bestemmelser som supplerer bestemmelsene i direktivet. Så lenge direktivets formål og de personvernprinsipper som ligger til grunn for direktivet legges til grunn, vil det etter underutvalgets syn også være mulig å vedta prosessuelle bestemmelser som tildeler partene i arbeidslivet en mer aktiv rolle enn det personopplysningsloven direkte legger opp til. I kap. 9 - 11 skisseres noen mulige særregler for arbeidslivet, som etter underutvalgets syn ikke vil komme i konflikt med direktivet.

Fotnote 9) Under gruppen nedsatt i medhold av personverndirektivet artikkel 29 (Data Protection Working Party).

Forholdet mellom personverndirektivet og regulering ved tariffavtaler

Et annet spørsmål som kan reises er i hvilken utstrekning personverndirektivet gir spillerom for arbeidslivets parter; dvs hvilken rolle tariffavtaler vil kunne spille på dette området. Blant annet kan følgende spørsmål stilles:

Kan personverndirektivets materielle regler – personvernet – gjennomføres i norsk rett ved tariffavtaler?
Er det adgang til å inngå avvikende tariffavtaler?
Hvilket handlingsrom har partene innenfor direktivets bestemmelser?

Underutvalget anser det mest hensiktsmessig å drøfte disse spørsmålene under den særskilte gjennomgangen av regulatoriske spørsmål i kap. 8.

Nordisk rett

Innledning

Reguleringene i de øvrige nordiske landene har flere fellestrekk som i hovedtrekk kan beskrives slik: Arbeidsgiverens rett til å kontrollere sine ansatte utledes av styringsretten, som på ulike måter er begrenset av hensyn til arbeidstakernes personlige integritet. Arbeidssøkeres integritetsvern er generelt svakere enn ansattes. I varierende grad og med sikte på særlige situasjoner finnes det lovregler og tariffavtaler på ulike nivåer som berører området og som begrenser arbeidsgiverens adgang til kontroll. Det er i alle de nordiske land utviklet visse grunnleggende kriterier i rettspraksis. Fellestrekk ved disse kriteriene er særlig krav til saklighet ved at arbeidsgivers kontroll skal være begrunnet i virksomhetsrelaterte forhold og at det skal være proporsjonalitet mellom mål og middel. Landene har ingen klare, heldekkende regler for hvilke kontrolltiltak en arbeidsgiver kan vedta og for hvor langt beskyttelsen av arbeidstakernes personlige sfære går.¹⁰ Finland har imidlertid nylig vedtatt en lov om integritetsvern i arbeidslivet.

Fotnote 10) Birgitta Nyström i Jonas Malmberg (red.): Låglönekonkurrens och arbetstagares integritet, Rapporter til Nordiskt arbetsrättslig möte 2000, Stockholm 2000.

Både Finland, Sverige og Danmark har som Norge vedtatt generelle personopplysningslover som skal gjennomføre EUs personverndirektiv. Disse blir det ikke gjort nærmere rede for her.

I forhold til spørsmålet om særlig regulering av kontrolltiltak i arbeidslivet er det særlig den finske loven om integritetsvern i arbeidslivet, den danske loven om helseopplysninger i arbeidslivet og den svenske Integritetsutredningen, der det foreslås en lov om vern av personlig integritet i arbeidslivet, som er av interesse. De nordiske regelverkene og lovforslag har forskjellig innretning og rekkevidde, og ingen av dem innebærer noen totalregulering av vilkår for arbeidsivers kontrolltiltak. Det gjøres i det følgende kort rede for de to lovene og det svenske lovforslaget.

Den finske loven om integritetsvern i arbeidslivet¹¹

Fotnote 11) Om det finske integritetsvernet i arbeidslivet generelt, se Anders von Koskull: ”Arbetsgivarens kontroll – arbetstagarens integritet – Finland”, i Jonas Malmberg (red.): Låglönekonkurrens och abetstagares integritet, Rapporter til Nordiskt arbetsrättslig möte 2000, Stockholm 2000.

Finland har en egen lov om integritetsvern i arbeidslivet (lag om integritetsskydd i arbetslivet, 8.juni 2001:477, vedlagt). Dette er en supplerende særlov i forhold til personopplysningsloven og går foran denne i tilfelle motstrid mellom reglene. Ingen andre EU-land har tilsvarende lovgivning.

Bakgrunnen for loven var en oppfatning om at personopplysningsloven er en almen lov som ikke i tilstrekkelig grad ivaretar arbeidslivets spesielle behov. Formålet med loven er å presisere og gjennomføre grunnleggende rettigheter som beskytter den personlige integritet i arbeidslivet, særlig privatlivets fred, gjennom alminnelige vernebestemmelser som er direkte anvendelige på arbeidsforhold. Loven skal også sikre bedre forutberegnelighet for aktørene på arbeidsmarkedet. Videre skal loven fremme god informasjonsbehandling i arbeidslivet. Et siktemål her er å redusere mengden av personopplysninger som innsamles.

Samtidig som loven gjennom generelle krav skal ivareta arbeidsgiveres personaladministrative behov og plikter med hensyn til arbeidstakervern, peker den også ut visse viktige områder der det er behov for særlige begrensninger. Dette gjennomføres ikke ved detaljregulering om hvilke opplysninger som kan behandles, men derimot ved regler som skal sikre åpenhet i behandlingen, arbeidstakeres kunnskap om hvilke opplysninger som behandles mv, særlig ved samarbeid med arbeidstaker og arbeidstakerrepresentanter. Forarbeidene vitner om at ILOs retningslinjer (Code of conduct) har vært motiverende for lovens utforming.

Behandlingen av loven i den finske riksdagen tok lang tid da det var vanskelig å komme til enighet. Også mellom arbeidslivets parter var det uenighet. Uenigheten gjaldt særlig vilkår og prinsipper for adgangen til narkotika- og alkoholtesting. Resultatet er en noe uklar rettstilstand på området. Loven angir kun almene regler om hvordan testene skal gjennomføres og regulerer således ikke lovlighetsspørsmålet. Riksdagen forutsetter imidlertid at det fremmes kompletterende forslag. I tillegg ble det forutsatt at det fremmes kompletterende forslag med hensyn til teknisk overvåking og kontroll av e-post.

Loven gjelder både arbeidstakere og arbeidssøkere.¹² Anvendelsesområdet er bredere enn personopplysningsloven og EU-direktivet, da loven også omfatter innhenting av opplysninger med mer som ikke behandles elektronisk eller som settes/skal settes inn i et register. Det betyr for eksempel at loven omfatter narkotikatesting uavhengig av om resultatene skal lagres.

Fotnote 12) For enkelthets skyld omfatter benevnelsen arbeidstakere i det følgende også arbeidssøkere.

Integritetsvernloven har en generell bestemmelse om at arbeidsgiver bare kan behandle personopplysninger som har direkte relevans for arbeidstakerens ansettelsesforhold, og som har å gjøre med håndteringen av rettigheter og plikter mellom arbeidsgiver og arbeidstaker eller med arbeidsoppgavenes særlige karakter. Kravet gjelder ubetinget, det kan derved heller ikke gis samtykke til å behandle opplysninger som ikke har tilstrekkelig relevans til arbeidsforholdet. I motsetning til den finske loven, har personverndirektivet et nødvendighetskriterium (der behandlingen ikke baseres på lov eller samtykke), det vil si et krav om at behandlingen må være ”nødvendig” for nærmere angitte grunner. Kravet om relevans fremstår umiddelbart som mindre strengt enn et krav om nødvendighet. Det kan derfor stilles spørsmål ved om den finske loven her er i samsvar med direktivets minimumskrav. På forespørsel fra sekretariatet opplyste det finske arbeidsministeriet at relevanskravet ikke skal forstås som en innskrenkning i forhold til direktivets krav til nødvendighet. Det ble opplyst at spesiallovens relevanskrav er ment å komplementere ogpresisere direktivets krav slik at arbeidstakeres beskyttelse styrkes i forhold til dette.

Loven bygger som hovedregel på rettslige standarder for arbeidsgivers utøvelse av styringsretten, samt krav til prosedyrer ved gjennomføring av kontrolltiltak. Loven har kun noen få regler som på avgrensede områder regulerer adgangen til å iverksette kontrolltiltak (forbud mot at arbeidsgiver går inn i private meldinger i e-post og Internett (§ 9), krav om samtykke for å gjennomføre personlighetstester (§ 5) og forbud mot genetiske tester (§7)).

Loven inneholder bestemmelser om innsamling av opplysninger om arbeidstakere og arbeidssøkere, om personlighetstester, om medisinske undersøkelser (inkludert narkotika- og alkoholtesting), teknisk overvåking og e-post, mv. Hovedtrekkene i lovens sentrale bestemmelser kan forsøksvis sammenfattes slik:

Personopplysninger skal i første hånd samles inn fra arbeidstakeren selv. For å samle inn opplysninger fra annet hold kreves som hovedregel arbeidstakerens samtykke
Arbeidsgiver kan bare gjennomføre personlighetstester og bedømmelser av skikkethet, evner og lignende under forutsetning av arbeidstakerens samtykke. Loven har ellers regler om hvordan slike tester/bedømmelser skal gjennomføres og brukes.
Helseundersøkelser, herunder rusmiddeltester kan bare gjennomføres av fagkyndige. Helseopplysninger kan bare behandles under visse nærmere vilkår. Arbeidsgiver kan ikke kreve genetiske undersøkelser eller genetiske opplysninger om arbeidstaker.
Rutiner osv for teknisk overvåking (for eksempel adgangskontroller) og bruk av e-post og Internett skal utvikles i samarbeid med arbeidstakerne. Arbeidsgiver har ikke adgang til å gå inn i private meldinger i e-post og Internett.
Loven håndheves av arbeidstilsynet i samarbeid med dataombudet.
Overtredelse av loven kan utløse plikt til erstatning. Enkelte bestemmelser er også straffesanksjonerte.

Den danske loven om bruk av helbredsopplysninger¹³

Den danske loven om bruk av helseopplysninger på arbeidsmarkedet (lov nr. 86 av 24. april 1996) har som formål å sikre at opplysninger om arbeidstakeres helsetilstand ikke ”uberettiget” begrenser en arbeidstakers muligheter for å oppnå eller beholde et arbeidsforhold (§1). Loven har et grunnleggende prinsipp om at arbeidsgiver ikke kan innhente generelle helseopplysninger om arbeidssøkere og arbeidstakere. Det kan bare innhentes opplysninger om spesifikke, aktuelle helseforhold, og bare hvis opplysningene har ”væsentlig betydning for lønmottagerens arbejdsdyktighet ved det pågældende arbejde”. (§ 2). Vilkåret korresponderer med arbeidstakers opplysningsplikt etter lovens § 6. Her gis en – for arbeidsgivere – viktig regel som pålegger arbeidstakere på eget tiltak å opplyse om eventuelle sykdommer eller symptomer på sykdommer, som kan ha vesentlig betydning for arbeidstakerens funksjonsevne ved ”pågældende arbejde". Breisteinutvalget legger således til grunn at en arbeidssøker har plikt til å opplyse om en kronisk sykdom som kan forventes å innebære et betydelig sykefravær.¹⁴ Med ”pågældende arbejde” forstås ”alle de funksjoner arbeidsgiveren realistisk sett, ikke teoretisk, kan forutse at arbeidstakere vil komme til å bli beskjeftiget med i løpet av et overskuelig tidsrom".¹⁵

Fotnote 13) Om det danske integritetsvernet i arbeidslivet generelt, se Jens Kristiansen: ”Arbejdsgiverens kontrol med ansatte – Danmark”, i Jonas Malmberg (red.): Låglönekonkurrens och abetstagares integritet, Rapporter til Nordiskt arbetsrättslig möte 2000, Stockholm 2000 og Ruth Nielsen: ”Persondata og arbejdsgiverens integritet”, i Juridisk Institut Julebog 2000, København 2000.

Fotnote 14) NOU 2001:4 'Helseopplysninger i arbeidslivet', s. 59.

Fotnote 15) NOU 2001:4 'Helseopplysninger i arbeidslivet', s. 59.

Loven forbyr uttrykkelig at arbeidsgiver anmoder om, innhenter eller gjør bruk av helseopplysninger med sikte på å få belyst arbeidssøkeres og ansattes risiko for å utvikle eller pådra seg sykdommer. En arbeidsgiver kan for eksempel ikke stille krav om HIV-test for å vurdere risikoen for at vedkommende senere vil utvikle AIDS.

Etter § 4 kan arbeidsgiveren, etter tillatelse fra Arbejdsministeren, innhente helseopplysninger dersom det er nødvendig for å tilgodese vesentlige hensyn til:

forbrukeres eller andres helse og sikkerhet
det ytre miljø eller
andre samfunnsinteresser

Det må dessuten foretas en interesseavveining hvor det kreves at de nevnte hensyn ”klart overstiger” hensynet til arbeidstakeren og at det ikke er mulig å ivareta hensynet på annen måte.

Helseopplysningsloven § 5 åpner for at det inngås tariffavtale om adgang til å innhente opplysninger om arbeidstakernes helsetilstand. Forutsetningene er at dette er ”nødvendig for at tilgodese væsentlige hensyn til virksomhetens drift”. Dersom det ikke kan inngås slik avtale i virksomheten, kan Arbeidsministeren, forutsatt at vesentlighetskriteriet er oppfylt, gi tillatelse til at opplysningene likevel blir innhentet.

Loven slår videre fast at arbeidstakeren/arbeidssøkeren selv skal fremskaffe de opplysningene som arbeidsgiver (lovlig) krever. Resultater fra helseundersøkelser som legeerklæringer og lignende, skal kun utleveres til den undersøkte. Helseopplysningsloven bygger på en strengere standard enn personopplysningsloven og går foran denne.

Den svenske Integritetsutredningen med forslag til ny lov¹⁶

Ulike integritetsspørsmål har blitt utredet i Sverige ved flere anledninger på 90-tallet. Her kan først nevnes SOU 1996: 63 om medisinske undersøkelser i arbeidslivet. Flere av høringsinstansene ga uttrykk for at spørsmålene burde utredes ytterligere. Spørsmålet ble den gang overlatt til arbeidsmarkedets parter.

Fotnote 16) Om det svenske integritetsvernet i arbeidslivet generelt, se Kent Källström: ”Arbetsgivarens kontroll – arbetstagarens integritet – Sverige”, i Jonas Malmberg (red.): Låglönekonkurrens och abetstagares integritet, Rapporter til Nordiskt arbetsrättslig möte 2000, Stockholm 2000, SOU 2002:18 s 53–56 og Dir. 1999:73.

Spørsmålet om regulering av vernet av personlig integritet i arbeidsforhold generelt er utredet i den såkalte Integritetsutredningen (SOU 2002:18).¹⁷ I utredningen vurderes behovet for lovregulering eller andre tiltak for å styrke vernet av den enkeltes integritet i arbeidslivet, og det legges frem et forslag til lov om vern av personlig integritet i arbeidslivet (lag om skydd för personlig integritet i arbetslivet, vedlagt). Bakgrunnen for lovforslaget er ifølge utredningen at det ikke finnes noen samlet regulering av vernet for personlig integritet i arbeidslivet. Det finnes heller ikke noen lovregulering på dette området som er utformet med hensyn til den tekniske og medisinske utviklingen. Ifølge utredningen savnes det et akseptabelt rettslig bindende vern for arbeidstakeres integritet. Det vises til at det nasjonalt og internasjonalt råder bred enighet om at respekt for den enkeltes privatliv og vernet av personlig integritet er en menneskerettighet som staten har plikt til å garantere gjennom lov.

Fotnote 17) Utredningen er tilgjengelig på http://www.regeringen.se

Behovet for ny lovregulering begrunnes generelt i den økte anvendelsen av personopplysninger i arbeidslivet. Dette settes i sammenheng med individualiseringen av arbeidslivet, for eksempel ved lønnsfastsettelser eller krav om individuell tilrettelegging av arbeidet. Det vises også til at skillet mellom privatliv og arbeidsliv er blitt mer uklart. Videre vises det til ny informasjonsteknikk og de økte muligheter denne gir for å kunne kontrollere og overvåke arbeidstakerne.

Utredningen og lovforslaget fokuserer ellers på fire hovedområder for kontrolltiltak:

Anvendelse av informasjonsteknologi
Personopplysninger om helse og rusmiddelbruk
Personlighetstester
Personopplysninger om lovovertredelser.

Lovforslaget tar utgangspunkt i den svenske personopplysningsloven. Dette betyr blant annet at grunnleggende prinsipper som relevans mv som har vært styrende for personverndirektivet og personopplysningsloven, også gjelder for lovforslaget. Disse prinsipper går i korthet ut på at de personopplysninger som samles inn skal være adekvate og relevante i forhold til formålet med behandlingen, at formålet må være berettiget og særskilt uttrykkelig angitt og at personopplysningene ikke kan behandles med annet formål enn det de er samlet inn for. Loven om vern av integritet i arbeidslivet skal være en spesiallov i forhold til personopplysningsloven og går foran denne ved motstrid.

Det foreslås et noe videre anvendelsesområde enn det som gjelder for personopplysningsloven, ved at alle dokumenterte personopplysninger skal omfattes uavhengig av om de inngår i et register, databehandles mv. Ifølge forslaget skal loven omfatte så vel arbeidstakere som arbeidssøkere og tidligere arbeidstakere.

Det foreslås regler om ulike tiltak som kan innebære krenkelser av den personlige integritet. Det foreslås for eksempel regler om at personopplysninger i første hånd skal innhentes fra arbeidstakeren selv, om når en arbeidsgiver kan behandle opplysninger om helse eller rusmiddelbruk og om at opplysninger fra personlighetstester bare kan behandles etter arbeidstakerens samtykke. Det foreslås også at en arbeidsgiver som hovedregel ikke skal kunne behandle personopplysninger om lovovertredelser. Det foreslås unntak fra disse hovedreglene hvis det er nødvendig for virksomheten, almen sikkerhet eller lignende. Unntaksgrunnene varierer noe i de ulike bestemmelser, men kravet om nødvendighet gjentas. Videre angis det hvordan helseundersøkelser, rusmiddeltester og personlighetstester skal gjennomføres. I tillegg foreslås det regler om måten å innhente opplysninger på, om hvordan opplysninger skal lagres, om informasjonsplikt og rettelse og om taushetsplikt. Brudd på loven kan utløse erstatningsplikt eller straff.

Oversikt over rettstilstanden i Norge

Innledning

Spørsmålet om arbeidsgivers kontroll av arbeidstakere kan deles inn i to hovedspørsmål. For det første er det spørsmål om hvilken rett arbeidsgiver har til å gjennomføre kontrolltiltak med en motsvarende arbeidsrettslig plikt for de ansatte til å la seg kontrollere. For det andre er det spørsmål om adgangen til å behandle den informasjon som fremkommer av kontrolltiltaket; det vil si spørsmålet om hvilke regler som gjelder i norsk rett ved behandling av opplysninger om den enkelte arbeidstaker. Problemstillingen om kontroll i arbeidsforhold har derfor både en arbeids- og en personvernrettslig side.

Selv om de to nevnte problemstillingene prinsipielt står på egne ben, er det også en indre sammenheng mellom spørsmålene. Arbeidsgivers nytte av å iverksette et kontrolltiltak reduseres vesentlig hvis arbeidsgiver ikke kan behandle resultatet/informasjonen fra kontrolltiltaket på et senere tidspunkt. Selv om hovedfokuset i denne rapporten er spørsmålet om rettmessigheten av kontrolltiltak vil, som vi skal se i det følgende, spørsmålet om den etterfølgende behandling av personopplysninger indirekte spille en viktig rolle.

Norsk rett har ingen generelle regler om hvilke kontrolltiltak som kan iverksettes overfor arbeidssøkere og ansatte. Det finnes med andre ord ikke en generell lov om kontrolltiltak i arbeidsforhold. Kontrolladgangen reguleres dels av de alminnelige regler om rettigheter og plikter som gjelder mellom partene i arbeidsforhold, dels av lovfestede og ulovfestede regler om vern av personlig integritet.¹⁸ Den individuelle arbeidsavtale, tariffavtalene, den alminnelige lojalitetsplikt og arbeidsgivers styringsrett utgjør, sammen med særlige bestemmelser i lov og forskrift, viktige elementer av den rettslige reguleringen av selve arbeidsforholdet. Personopplysningsloven, menneskerettsloven, EMK, øvrige konvensjoner og ulovfestede personvernprinsipper er på sin side sentrale deler av personvernregelverket.

Fotnote 18) Se også Helga Aune og Henning Jakhelln: 'Arbeidsgiverens kontrolladgang - arbeidstakerens integritet', i Jonas Malmberg (red.): 'Låglönekonkurrens och arbetstagares integritet', Rapporter til Nordisk arbetsrättslig møte 2000, Stockholm 2000.

Personopplysningsloven dekker alle samfunnsområder. Loven omfatter dermed også arbeidslivet, og vil få betydning for de kontrolltiltak som innebærer behandling av personopplysninger, og for den etterfølgende bruken av informasjon fremskaffet gjennom kontrolltiltak. Personopplysningsloven er derfor også et godt eksempel på sammenhengen mellom de to hovedproblemstillingene. Lovens sentrale betydning nødvendiggjør en nærmere behandling, og i punkt 5.4.4 og 7.3 drøftes derfor lovens betydning for iverksettelse av kontrolltiltak i arbeidsforhold.

Resultatet av kontrolltiltaket, eller arbeidstakerens unndragelse av kontroll, kan føre til avskjed, oppsigelse eller disiplinære forføyninger som for eksempel omplassering. Om en slik sanksjon er lovlig, følger av arbeidsrettslige regler som det ikke vil bli gjort nærmere rede for her. Det presiseres dessuten at arbeidsgiver ikke nødvendigvis har rett til å gjennomføre kontrolltiltaket ved bruk av tvang, selv om kontrolltiltaket i seg selv skulle være rettmessig. Bruk av tvang (i vid forstand) forutsetter en særskilt hjemmel i lov.

I det følgende gis det først en oversikt over grunnlaget for at arbeidsgiver overhodet kan ha en rett til å iverksette kontrolltiltak. I denne sammenheng vises det også til regler som pålegger arbeidsgiver å sette i verk kontroll.

Arbeidsrettslige utgangspunkter

Grunnlaget for arbeidsgivers adgang til kontrolltiltak

Ethvert kontrolltiltak som virker inngripende i forhold til den enkelte, eller som begrenser den enkeltes handlefrihet, krever et rettslig grunnlag av en eller annen art.

Et sentralt grunnlag som kan begrunne kontrolltiltak, er arbeidsgivers alminnelige styringsrett i arbeidsforholdet. Med styringsrett siktes det til arbeidsgivers rett til å lede, fordele og kontrollere arbeidet. Arbeidsretten har flere ganger slått fast at ulike kontrolltiltak kan etableres og iverksettes i kraft av styringsretten. Arbeidsgivers styringsrett er begrenset gjennom bestemmelser i lov, forskrift, tariffavtale og gjennom ulovfestede prinsipper. Dersom arbeidsgiveren ikke kan påvise noe annet rettslig grunnlag, vil problemstillingen normalt være om styringsretten gir et tilstrekkelig grunnlag for kontrolltiltaket.

I den svenske Integritetsutredningen, SOU 2002: 18 side 175, formuleres forholdet mellom styringsretten og kontrolladgangen slik:

"Som allmän princip inom arbetsrätten gäller att arbetsgivaren bestämmer över arbetsledningen och att arbetsgivaren därmed har rätt att bestämma arbetsuppgifterna, sättet och platsen för arbetets utförande samt den utrustning som skall användas. Inom ramen för anställningsavtalets innehåll har arbetsgivaren således rätt att bestämma vilket arbete arbetstagaren vid varje tillfälle skall utföra. Arbetsgivarens rätt motsvaras av en skyldighet för arbetstagaren att utföra arbetet och en vägran från arbetstagarens sida kan utgjöra saklig grund för uppsägning.

Arbetsgivarens arbetsledningsrätt innefattar en rätt att vidta kontrollåtgärdar av olika slag. Som exempel kan nämnas att arbetsgivaren kan uppställa krav på tidsstämpling eller in- och utpasseringskontroller. Också arbetsgivarens åtgärder att kräva att arbetstagaren genomgår hälsoundersökningar eller drogtester kan innefattas i denna kontrollrätt."

Det som her er uttalt i SOU 2002: 18 antas å være sammenfallende med det rettslige utgangspunktet etter norsk rett.

Kontrolltiltakets rettmessighet kan også bygge på samtykke fra arbeidstakeren(e), i form av en individuell eller kollektiv avtale. Samtykke er for øvrig et sentralt rettslig grunnlag for behandling av personopplysninger etter personopplysningsloven og EUs personverndirektiv. De nærmere krav til samtykke følger særlig av ulovfestede prinsipper og av personopplysningsloven. For at et samtykke skal ha virkning, må vedkommende arbeidstaker ha oppfattet hva samtykket gjelder, inkludert rekkevidden av tiltaket. Aksepten må komme klart til uttrykk. Det konkrete kontrolltiltakets inngripende karakter vil være et helt vesentlig moment for å fastslå det nærmere kravet til samtykke. Kravet til klarhet og notifiserbarhet (ettervislighet) vil skjerpes jo mer inngripende tiltak det er tale om.

Samtykke kan gis ved inngåelsen av arbeidsavtalen, eller etter at ansettelsesforholdet er etablert, eventuelt i forbindelse med gjennomføringen av et konkret kontrolltiltak. Et samtykke kan i utgangspunktet trekkes tilbake. Gjennom arbeidsavtalen kan imidlertid samtykket antagelig gjøres ugjenkallelig for en kortere eller lengre periode, såfremt det ikke er tale om inngripende tiltak som berører frihet, ære eller legemets integritet (for eksempel urin- eller blodprøvetaking).

Ut fra en ren arbeidsrettslig innfallsvinkel er det ikke tvilsomt at det gjennom tariffavtale kan etableres kontrollordninger med bindende virkning for de enkelte ansatte som er medlemmer av den forening som inngår avtalen. Fullmakten som gis foreningen ved den enkelte arbeidstakers medlemskap, omfatter i utgangspunktet også et samtykke til å avtalefeste kontrollordninger. Etablering og utforming av kontrolltiltak gjennom tariffavtale vil i alminnelighet sikre en betryggende saksbehandling og en forsvarlig interesseavveining. Dette kan tale for at en bør gå forholdsvis langt i å akseptere tariffavtale som et rettslig grunnlag for kontrolltiltak i arbeidslivet. Men det går likevel en grense, særlig inngripende kontrolltiltak må sannsynligvis forankres i et individuelt samtykke.

Adgangen til å iverksette kontrolltiltak kan også utledes fra plikt eller rett til tiltak som er nedfelt i lov eller forskrift. Arbeidsmiljøloven med tilhørende forskrifter har for eksempel flere bestemmelser som pålegger arbeidsgiver plikt til å sørge for et fullt forsvarlig arbeidsmiljø og til å gjennomføre undersøkelser av helsemessige forhold i visse tilfeller. Det finnes dessuten flere lover og forskrifter for spesielle yrkesgrupper som pålegger arbeidsgiver konkrete kontrollplikter. Denne type lovhjemmel kan gi arbeidsgiver et rettslig grunnlag for å gjennomføre kontrolltiltak. Samtidig vil de samme lovbestemmelsene virke begrensende for hvilke kontrolltiltak som faktisk kan iverksettes, f. eks dersom tiltaket innebærer belastninger som virker ødeleggende eller negativt inn på det psykiske arbeidsmiljøet ved bedriften. I punkt 5.2.3 gis det en nærmere oversikt over relevante lover og forskrifter.

Yttergrensene for kontrolltiltak. Saklighet og forholdsmessighet.

Allmenne prinsipper om vern av den personlige integritet utgjør en grense for arbeidsgivers kontrolladgang, og for hvor langt tariffavtaler og individuelt samtykke rekker som rettslig grunnlag for kontroll. Gjennomføringen av kontrolltiltak må skje på grunnlag av visse generelle prinsipper som på ulike måter er nedfelt i lov, rettspraksis, internasjonal rett osv. Også kollektive avtaler som Tilleggsavtale V til Hovedavtalen mellom LO og NHO, bygger på tilsvarende prinsipper. Det samme gjelder regelverk og rettspraksis i de øvrige nordiske land.

Et sentralt prinsipp er for det første kravet om saklighet. Generelt må det legges til grunn at arbeidsgivers utøvelse av styringsretten begrenses av alminnelige saklighetsnormer.¹⁹ Ved tolking og utfylling av avtalen må det blant annet legges vekt på sedvaner i bransjen, praksis i det aktuelle arbeidsforhold og hva som finnes rimelig i lys av samfunnsutviklingen. Med saklighet menes i denne sammenheng at tiltaket skal være begrunnet i forhold som vedrører virksomheten, tiltaket skal være egnet til å fremme formålet, og tiltaket skal ikke settes i verk vilkårlig overfor arbeidstakerne.

Fotnote 19) At utøvelse av styringsretten begrenses av alminnelige saklighetsnormer ble uttrykt av Høyesterett i Rt. 2001 s. 418 'Kårstø-dommen' og Rt. 2000 s. 1602 'Brannbåt-dommen'. Høyesterett uttalte i disse dommene at utøvelse av arbeidsgivers styringsrett stiller visse krav til saksbehandlingen, og at det må foreligge et forsvarlig grunnlag for en slik avgjørelse, som ikke må være vilkårlig eller basert på utenforliggende hensyn. Høyesterett uttalte videre at utøvelse av styringsretten må skje innenfor rammen av det arbeidsforhold som er inngått.

Et annet hovedprinsipp er kravet om forholdsmessighet (proporsjonalitet). Med andre ord en avveining mellom arbeidsgivers interesse i kontrolltiltaket og arbeidstakerens personvern. Det må tas hensyn til hvor inngripende tiltaket er eller kan bli for den enkelte, samt generell respekt for verdighet og privatliv. Hensynet til personlig integritet er tillagt vekt av Høyesterett i flere saker, se nedenfor under punkt 5.3.2. Rettspraksis må sies å være et uttrykk for de samme prinsipper som er nedfelt i EMK artikkel 8 (Retten til respekt for privatliv og familieliv).

I samsvar med forholdsmessighetsprinsippet, vil kravene som stilles til rettsgrunnlaget for at kontrollen er lovlig, særlig bero på begrunnelsen og behovet for kontrollen, kontrolltiltakets art og hvor inngripende kontrollen vil virke overfor den enkelte. Jo mer inngripende tiltak det er snakk om, jo strengere krav må stilles til rettsgrunnlaget. For eksempel vil kontroll av når de ansatte møter og forlater arbeidet normalt kunne settes i verk med grunnlag i styringsretten, mens kontrolltiltak som impliserer kroppsundersøkelser som regel ikke vil kunne gjennomføres uten hjemmel i lov eller uttrykkelig samtykke.

Plikt til kontroll etter lov, forskrift eller forvaltningsvedtak

En virksomhet kan være pålagt å utføre kontrolltiltak ved bestemmelser i lov, forskrift eller eventuelt ved enkeltvedtak. Det kan for eksempel være tale om nødvendig kontroll for å sikre at kravene i arbeidsmiljøloven kapittel II om et fullt forsvarlig arbeidsmiljø er oppfylt. Som fremhevet tidligere, vil slike bestemmelser ha betydning både som rettslig grunnlag for kontrolltiltak og som grense for hvilke typer kontrolltiltak som kan gjennomføres. Rekkevidden av denne type bestemmelser kan imidlertid ofte være noe uklar, det gjelder spesielt de forholdsvis generelle bestemmelsene i arbeidsmiljøloven om arbeidsmiljøet. Det kan derfor være vanskelig å fastslå hvilke kontrolltiltak den enkelte bestemmelse hjemler. Det er for eksempel uavklart om bestemmelsene i arbeidsmiljøloven om forsvarlig arbeidsmiljø gir grunnlag for å pålegge de ansatte helsekontroller eller liknende kontroll av inngripende karakter.

Arbeidsmiljøloven § 7 nr. 1 fastsetter at arbeidsmiljøet skal være fullt forsvarlig ut fra både en enkeltvis og samlet vurdering av de faktorer i arbeidsmiljøet som kan ha innvirkning på arbeidstakernes fysiske og psykiske velferd. Tilsvarende gjelder for arbeidsmiljøloven § 12 nr. 1. Etter arbeidsmiljøloven § 12 nr. 1 skal teknologi, arbeidsorganisasjon, utførelse av arbeidet osv legges opp slik at arbeidstakerne ikke utsettes for uheldige fysiske eller psykiske belastninger. Dette betyr at det ikke kan gjennomføres kontrolltiltak i bedriften hvis tiltakene kommer i strid med lovens krav til et fullt forsvarlig arbeidsmiljø, eller utsetter de ansatte for uheldige belastninger. Samtidig kan bestemmelsene i en viss utstrekning begrunne kontrolltiltak som tar sikte på å avklare om arbeidsmiljøet er tilfredsstillende og som er nødvendige for å sikre at lovens krav blir ivaretatt.

Etter arbeidsmiljøloven § 11 nr. 2 er virksomheter som er i befatning med helsefarlige stoffer pålagt å foreta en fortløpende kontroll med arbeidstakernes helse. En lignende bestemmelse finnes i arbeidsmiljøloven § 14 c), arbeidsgiver har plikt til å foreta løpende kontroll av de ansattes helse når det er fare for at arbeidsmiljøet kan gi helseskader på lang sikt. Se i den forbindelse også forskrift om vern mot eksponering av kjemikalier på arbeidsplassen av 30. april 2001 nr. 443 kapittel IX som bl.a pålegger arbeidsgiver å sørge for at arbeidstakere som utsettes for farlige kjemikalier gjennomgår legekontroll før arbeidet starter, og deretter kontrolleres regelmessig.

Likeartede regler om helsekontroll av ansatte er også gitt i blant annet kjøttproduktforskriftene av 6. april 1995 nr. 353 § 23, i forskrift om arbeid med kreftfremkallende kjemikalier av 26. februar 1998 nr. 242 § 22 og i flere andre forskrifter. Dette er eksempler på bestemmelser som ikke bare åpner for kontrolltiltak, men som pålegger arbeidsgiver å gjennomføre forholdsvis inngripende helseundersøkelser. Arbeidstakerne plikter å medvirke til gjennomføringen av slike kontroller.

Lov om pliktmessig avhold av 16. juli 1936 nr. 2 § 3 gir vegtrafikkloven av 18. juni 1965 nr. 4 § 22 a tilsvarende anvendelse for personell som omfattes av loven. Det vil si at politiet kan pålegge blant annet sjåfører i gods- og persontransport, driftsansatte ved jernbane og sporvei og flyvende personell å avlegge alkoholtest ved konkret mistanke om påvirkning mv. Dersom arbeidstakeren nekter å la seg teste kan politiet fremstille arbeidstakeren for klinisk legeundersøkelse og blodprøvetesting.

I tillegg finnes det bestemmelser om ulike former for kontrolltiltak som virksomhetene plikter å gjennomføre i en rekke ulike lover. Eksempler på noen slike lover er:

Sjømannsloven av 30. mai 1975 nr. 18 § 26 har regler om krav til arbeidstakernes helse, plikt til å fremvise legeerklæring og til la seg undersøke når skipperen krever det, jf. forskrift av 3. februar 1986 nr. 237 om legeundersøkelse av arbeidstakere på skip. Luftfartsloven av 11. juni 1993 nr. 101 §§ 5-3 og 6-11 inneholder blant annet helsemessige krav til arbeidstakere på luftfartøy, pliktmessig avhold og ruskontroll ved mistanke om påvirkning m.m..

Smittevernloven av 5. august 1994 nr. 55 §3-2 er en bestemmelse om forhåndsundersøkelse av arbeidssøkende m.fl. jf. forskriftene av 5. juli 1996 nr. 700 om forhåndsundersøkelse av arbeidstakere i helsevesenet og av 20. oktober 1996 nr. 1043 om tuberkulosekontroll av blant annet lærere, helsepersonell, ansatte på skip og borerigger og forsvarets personell.

Petroleumsloven av 29. november 1996 nr. 72 § 9-6 har krav til personellets kvalifikasjoner, § 11-1 og forskrift av 12. november 1990 nr. 1164 inneholder bestemmelser om helsekrav, helseundersøkelse og legeerklæring.

Skranker for adgangen til kontroll

Generelt

Adgangen til å iverksette kontrolltiltak er begrenset ut fra tiltakenes formål og art (materielle begrensninger) og gjennom krav til gjennomføringsmåte, beslutningsprosedyrer, informasjonsplikt mv (prosessuelle krav). Det gjøres her rede for de sentrale reglene som følger av alminnelige arbeidsrettslige prinsipper og personopplysningsloven, samt enkelte regler i tariffavtaler, andre lover mv. Oversikten over gjeldende regelverk er ikke uttømmende.

Ulovfestede arbeidsrettslige prinsipper. Rettspraksis

I svært mange tilfeller må svaret på konkrete spørsmål om rettmessigheten av kontrolltiltak forankres i en vurdering av ulovfestede prinsipper om vern av den personlige integritet, slik disse er uttrykt gjennom alminnelige rettsgrunnsetninger og praksis fra domstolene og offentlige kontrollorganer. I utgangspunktet gjelder prinsippene likt i offentlig og privat sektor. Forvaltningsretten, herunder læren om myndighetsmisbruk, medfører likevel at rettsstillingen i offentlig sektor ikke i alle relasjoner er fullt ut sammenfallende med rettsstillingen i private arbeidsforhold.

Det finnes en del avgjørelser om arbeidsgivers kontrolladgang fra Arbeidsretten og de alminnelige domstoler. Domstolene har i sin praksis bygget på allmenne prinsipper om vern av den personlige integritet og utviklet et ulovfestet, domsstolskapt personvern. Avgjørelsene er basert på en avveining av arbeidsgivers behov for å iverksette tiltaket og behovet for å beskytte arbeidstakerens personlige integritet. Her refereres enkelte sentrale eksempler fra rettspraksis. I forbindelse med punkt 5.5 omtales også enkelte andre avgjørelser.

En dom fra 1951 (ARD 1951 s. 291) gjaldt to bryggeribedrifter som besluttet å innføre personkontroll. På vei ut fra bedriftens område skulle alle personer trykke på en knapp, noe som utløste enten grønt eller rødt lys. Ved rødt lys skulle vedkommende underkaste seg veskekontroll. Kontrollen bygget med andre ord ikke på konkret mistanke, men ble igangsatt overfor tilfeldig utvalgte personer. Kontrollordningen var nedfelt i tariffavtale. En gruppe installatører, som ikke var ansatt ved bryggeriene, nektet å la seg kontrollere når de utførte oppdrag ved de aktuelle virksomhetene. Installatørene var ikke omfattet av den aktuelle tariffavtalen, men installatørenes arbeidsgivere pålå dem å underkaste seg kontrolltiltaket. Dette aksepterte ikke installatørene. Arbeidsretten uttalte at arbeidsgiver kunne kreve at de arbeidere som ble sendt ut til bryggeriene underkastet seg den nødvendige personkontroll som bryggeriene forlangte. Arbeidsretten viste blant annet til de tungtveiende formål bak kontrolltiltakene og at installatørene ikke hadde noen grunn til å føle seg krenket ved kontrollen.

I ARD 1978 s. 110 går Arbeidsretten nærmere inn på det skjønn som må utøves ved vurderingen av om et kontrolltiltak er rettmessig. Saken gjaldt kontroll av de ansattes kjøretøyer, og arbeidsgiver anførte styringsretten som rettslig grunnlag for kontrollen. Arbeidsretten uttalte:

”Gjennom ARD 1937 s. 114 flg., ARD 1951 s. 201 flg., ARD 1958 s. 189 flg., ARD 1959 s. 1 flg. og ARD 1968 s. 44 flg. har Arbeidsretten fastslått at bedriftene i kraft av sin styringsrett har tariffrettslig adgang til å iverksette kontrolltiltak av forskjellig karakter overfor arbeidstakerne. Vilkåret for at det foreligger en slik adgang er imidlertid at det saklig sett er behov for vedkommende kontrolltiltak og at tiltaket ikke praktiseres vilkårlig, i den mening at man uten reell begrunnelse setter enkelte arbeidstakergrupper i en særstilling. I denne forbindelse er det dessuten å merke at kontrolltiltak ikke på tariffrettslig holdbar måte kan innføres med mindre informasjons- og drøftelsesplikten i Hovedavtalens § 9 punkt 2 er blitt loyalt etterlevet.”

Etter å ha konstatert at informasjons- og drøftelsesplikten etter Hovedavtalen var oppfylt, uttalte Arbeidsretten:

”Etter det opplyste må det videre antas at bedriftens vurdering av behovet for enkeltvis stikkprøvekontroll av de ansattes kjøretøyer på ingen måte kan tilsidesettes som åpenbart grunnløs eller som motivert av utenforliggende hensyn. Endelig kan det ikke sees at den praktiserte kontroll etter sin karakter påfører arbeidstakerne ulemper av en slik størrelsesorden at kontrollen av den grunn er tariffrettslig angripelig.”

Retten konkluderte med at kontrolltiltaket var rettmessig. Det kommer klart frem av avgjørelsen at de to sentrale vurderingstemaer var spørsmålet om saklighet og forholdsmessighet.

ARD 1959 s. 1 gjaldt rettmessigheten av pålegg om stempling i arbeidsklær. Arbeidsretten uttalte at arbeidsgiver hadde rett til å iverksette tiltak for å gjøre arbeidstiden mer effektiv, men at arbeidsgiver ikke kunne gi pålegg som gikk utover, eller som var åpenbart uegnet til å fremme formålet med kontrolltiltaket. I forbindelse med denne vurderingen uttalte retten:

”Det er bedriftsledelsen som utøver dette skjønn, og retten kan ikke sette dette skjønn til side, med mindre den finner det godtgjort at ledelsen har satt seg utover ethvert skjønn eller har gitt pålegg som har helt andre og utenforliggende formål, eller som i utrengsmål griper inn i arbeidernes fritid…”

Her synes Arbeidsretten å ha lagt til grunn at arbeidsgiver har et betydelig spillerom for skjønn med hensyn til hvilke kontrolltiltak som er nødvendige, så fremt det foreligger et saklig formål og rimelig forholdsmessighet mellom mål og middel. Arbeidsgiver fikk medhold i tvisten.

En avgjørelse i motsatt retning er kjennelsen i Rt. 2001 s. 668. Høyesteretts kjæremålsutvalg kom til at et videoopptak av personalet i arbeidsgivers butikk skulle avskjæres som bevis i en avskjedssak. Arbeidsgiver hadde montert et videokamera for å finne ut om noen av de tilsatte tok penger fra butikkens tippekasse. Det var satt opp oppslag med informasjon om at butikklokalene ble videoovervåket, men det aktuelle kameraet over tippekassen var satt opp en tid etter, og uavhengig av denne overvåkingen. Kameraet var skjult og tok bare sikte på å overvåke personalet som betjente tippekassen. Kjæremålsutvalget uttalte:

”Ei slik særskilt, hemmeleg og føremålsretta overvaking representerer eit vidtgåande integritetsinngrep i høve til dei tilsette. Sjølv om også ei alminneleg videoovervaking av eit butikklokale vil kunne fange inn tilsette, er karakteren av denne ei anna enn av ei slik målretta overvaking av dei tilsette. Klare personvernomsyn talar etter utvalet sitt syn for at eit slikt opptak i utgangspunktet ikkje er skaffa frem på lovleg måte.”

Kjæremålsutvalget fant at slik overvåking måtte oppleves som sterkt krenkende for arbeidstakerne. Utvalget konkluderte derfor med at prinsipielle hensyn måtte veie tyngre enn den konkrete betydning opptakene kunne tenkes å ha som bevis i avskjedssaken. Videoopptaket ble følgelig ikke tillatt ført.

Rt. 1991 s. 616 gjaldt også spørsmål om avskjæring av videoopptak foretatt i hemmelighet av arbeidsgiver. I motsetning til Rt. 2001 s. 668, en avskjedssak, var arbeidstakeren i dette tilfellet tiltalt for underslag fra arbeidsgiveren. Arbeidstakeren var ansatt i et gatekjøkken. Arbeidsgiver fikk mistanke om at arbeidstakeren ikke slo alle betalingene inn på kassen, og koblet derfor et kamera til en videoopptaker. Kameraet med tilhørende monitor, var montert en tid i forveien i forståelse med de ansatte. Arbeidstakerne ble derimot ikke informert da arbeidsgiver koblet kameraet til videoopptakeren. Opptakene skjedde på to forskjellige skift hvor den mistenkte arbeidstaker var på jobb sammen med andre ansatte. Totalt opptak var til sammen ca 14 timer, og arbeidsgiver mente å kunne påvise at arbeidstakeren flere ganger unnlot å slå inn mottatte beløp. Han redigerte derfor videoen ved å kopiere disse tilfellene over på en videokassett og overlot denne til politiet. Høyesterett åpnet for at slike videoopptak kan være i strid med arbeidsmiljøloven §§ 12 eller 19, men fant ikke lovtolkningsspørsmålene umiddelbart avgjørende. Retten uttalte:

”Selv om det kan være diskutabelt om hemmelige video-opptak på arbeidsplassen rammes av positive lovbestemmelser, er det etter min oppfatning klart at fremgangsmåten medfører et slikt inngrep i den personlige integritet at den ut fra alminnelige personvernhensyn i utgangspunktet bør ansees uakseptabel.”

Høyesterett foretok deretter en vurdering av om det ulovlig ervervede beviset skulle tillates ført. Retten la vekt på at hemmelig videoovervåking på arbeidsplassen måtte oppleves som sterkt belastende for den enkelte arbeidstaker. Vesentlige personvernhensyn talte for at beviset ikke skulle tillates benyttet. Hensynet til sakens opplysning ble ikke ansett tilstrekkelig tungtveiende, retten konkluderte dermed med at beviset måtte avskjæres.

Ved siden av disse to avgjørelsene om videoovervåking, avsa Gulating lagmannsrett 24. september 1999 en kjennelse om bevisavskjæring av videoopptak. Arbeidstaker A var tilsatt som butikkmedarbeider hos X. Hun ble innkalt til et møte med innehaver B, og ble på møtet foreholdt mistanke om blant annet underslag. A underskrev etter dette en "erkjennelse" samt en "oppsigelse" med øyeblikkelig fratreden. A hevdet senere at mistanken mot henne var uberettiget og hun anså seg derfor ikke bundet av oppsigelsen. Arbeidsgiver fastholdt sin mistanke, og at arbeidsforholdet var avsluttet. A reiste søksmål med krav om erstatning, basert på at hun var urettmessig oppsagt/gitt avskjed. Som bevis ønsket arbeidsgiver å legge frem en videokassett med ca 20 minutters redigert opptak av As opptreden ved kassaapparatet på seks forskjellige datoer. Arbeidsgiver hadde engasjert en tidligere politimann til å foreta etterforskning av A gjennom skjult videoopptak. Lagmannsretten uttalte at videoopptak som gjennomføres uten at den som overvåkes er kjent med opptaket, er en alvorlig integritetskrenkelse. For den som ble overvåket, ville det dessuten lett bli oppfattet som en ny krenkelse om beviset ble ført. Lagmannsretten tillot derfor ikke arbeidsgiver å føre videoopptaket som bevis i saken. Kjennelsen ble påkjært til Høyesterett, men kjæremålet ble forkastet.

Det gjøres oppmerksom på at det nå er gitt uttømmende bestemmelser om adgangen til videoovervåking i personopplysningsloven. Det vises til punkt 5.5.8. Avgjørelsene er likevel gode eksempler på den interesseavveining som skal foretas i henhold til de ulovfestede prinsippene om kontroll i arbeidsforhold.

En ytterligere interessant avgjørelse her er Høyesteretts dom av 4. desember 2001. Saken gjaldt spørsmålet om gyldigheten av en oppsigelse begrunnet i arbeidstakerens bruk av arbeidsgiverens Internett-linje til private formål. Arbeidstakeren (A) arbeidet som driftskonsulent i bedriftens IT-avdeling. Bedriften hadde store problemer med kapasiteten på Internett-linjen. IT-sjefen tok en utskrift av loggen som viste at As to PC-er sto for størsteparten av nedlastingen av data over Internett-linjen. IT-sjefen og en kollega av ham låste seg derfor inn på As kontor etter arbeidstiden og tok en katalogutskrift av den ene PC-en. Denne viste at det ble lastet ned store mengder musikkfiler.

Høyesterett fant at IT-sjefens undersøkelser og utskrifter av loggen var i samsvar med dagjeldende personregisterlovens hovedforskrift § 2-20. Det fremgikk av forskriften at et register over aktiviteter internt i et edb-system eller datanett, bare kunne brukes til administrasjon av systemet, og til å avdekke/oppklare brudd på sikkerheten i edb-systemet. (Bestemmelsen er i det vesentlige videreført i den nåværende personopplysningsforskriften § 7-11.) Retten uttalte at undersøkelsen måtte anses som administrasjon av systemet, selv om kontrollen ga informasjon om aktiviteten på As PC-er. Hovedforskriften § 2-20 innebar heller ikke noen skranke for å gå videre med den informasjon undersøkelsen ga om As belastning av Internett-linjen.

I forhold til spørsmålet om rettmessigheten av å låse seg inn på As kontor og ta utskrift av harddisken på den ene av As to PC-er, uttalte retten:

”Jeg finner det ikke påkrevet å ta stilling til dette spørsmålet. Bedriftens handlemåte må sees i lys av at ordningen ved IT-avdelingen etter det opplyste var slik at det var vanlig og akseptert at de ansatte gikk inn på hverandres kontorer og til dels brukte hverandres PC-er. Utskriften ble tatt da man med dette som utgangspunkt oppdaget at As PC-er fortløpende lastet ned musikkfiler fra Internett. Jeg kan ut fra dette vanskelig se at det kan rettes kritikk av betydning mot at ledelsen av IT-avdelingen gikk frem som den gjorde, og bedriften kan ikke være avskåret fra å bruke opplysningene i utskriften i forbindelse med oppsigelsen.”

Retten konkluderte med at oppsigelsen av A var saklig.

En annen beslektet avgjørelse, RG 1993 s. 77, en dom fra Asker og Bærum herredsrett, gjaldt spørsmålet om urettmessig avskjed av en arbeidstaker som arbeidet som systemkonsulent. Bedriftens leder hadde gått inn på systemkonsulentens private brukerområde i bedriftens EDB-baserte postsystem uten at det på forhånd var klargjort overfor arbeidstakeren at arbeidsgiver hadde adgang til å foreta slik kontroll. Retten kom til at forholdet måtte betraktes som et urettmessig inngrep i arbeidstakerens integritet. Retten fant det likevel ikke særlig tvilsomt at bedriften måtte ha adgang til bedriftsinformasjon som fantes på "åpne brukerområder". Bedriften måtte i utgangspunktet også ha adgang til å gå inn på den enkeltes private brukerområde hvis det var fastsatt regler eller instruks som ga ledelsen en slik adgang og de ansatte var gjort kjent med disse bestemmelsene. Avskjeden ble kjent ugyldig.

Norsk rettspraksis gir oppsummeringsvis relativt sparsom veileding for den generelle rettstilstand om rettmessigheten av kontrolltiltak. De avgjørelser som er avsagt fra Høyesterett og Arbeidsretten er som regel konkret begrunnet, og trekker i noe varierende grad opp de generelle retningslinjer. Flere av avgjørelsene, spesielt avgjørelsene fra Arbeidsretten, er også av eldre dato. Det er ikke gitt at avveiningen av arbeidsgivers behov for kontrolltiltaket kontra personvernhensynet ville slått likt ut i dag. Det er likevel grunnlag for å sammenfatte hovedtrekkene i avgjørelsene.

Det fremgår av avgjørelsene at domstolen legger vekt på kontrolltiltakets saklighet og forholdsmessighet. I tillegg vektlegger domstolene saksbehandlingen forut for kontrolltiltaket, informasjon og drøftelser er for eksempel særskilt viktig. Det kan også utledes av rettspraksis at den som tiltaket retter seg mot, regulært vil ha krav på å bli informert om kontrolltiltaket.

Det forholdsmessighetsprinsipp som også kunne utledes av den norske Arbeidsrettens dommer synes dessuten i stor grad å være i samsvar med rettstilstanden i Danmark og Sverige.

Med basis i en prinsipiell dom i den danske Arbejdsretten i 1913, som senere er fulgt opp i en rekke avgjørelser, synes retningslinjene for adgangen til å iverksette kontrolltiltak etter dansk rett å være at tiltaket er saklig begrunnet i virksomhetens formål og drift, at tiltaket ikke virker krenkende på arbeidstakerne og at det ikke er mer inngripende enn nødvendig.

Et ytterligere eksempel her er en dansk voldgiftskjennelse fra 2000.²⁰ Det ble tatt stilling til om et rederi uvarslet kunne pålegge de ansatte om bord på rederiets skip å avlevere urinprøve for å teste bruk av alkohol, narkotika eller andre rusmidler. Kontrolltiltaket ble innført av sikkerhetsmessige grunner og var ikke betinget av konkret mistanke. Rederiet hadde hatt problemer med bruk av narkotika ombord på skipene i forkant av tiltaket. Urinprøven skulle avleveres i lukket rom og straks overleveres til en uavhengig kontrollør. Det var knyttet betydelig usikkerhet til prøvene, fordi urin kan vise rester av narkotiske stoffer lenge etter inntak. I sin vurdering la voldgiftsretten stor vekt på betydningen av sikkerhetsarbeidet og at samtlige av de ansatte inngikk i sikkerhetsberedskapen ombord. Voldgiftsretten vurderte derfor testingen som rettmessig.

Fotnote 20) Kjennelse av 23. februar 2000, Dansk Sø-Restaurations Forening og Restaurationsbranchens Forbund mot DFDS A/S.

Med utgangspunkt i arbeidstakernes medansvar for arbeidsmiljøet kom den svenske Arbetsdomstolen i en dom fra 1991 til at de ansatte som arbeidet med montering av byggestillaser etter arbeidsavtalen var pliktige til å underkaste seg tester med sikte på å avsløre bruk av cannabis (AD 1991 nr. 45).

I en nyere sak (AD 1998 nr. 97) tok Arbetsdomstolen stilling til om en rengjører på et kjernekraftverk var pliktig til å gjennomgå rutinemessige alkohol- og narkotikatester. Bedriften hadde etablert en ordning med slik testing av alle ansatte hvert tredje år, og ordningen var nedfelt i tariffavtale med alle arbeidstakerorganisasjonene ved bedriften bortsett fra den organisasjon hvor rengjøreren var medlem. Arbetsdomstolen la betydelig vekt på bedriftens tungtveiende interesse i å gjennomføre kontrollen. I tillegg mente retten at prøvene foregikk på en forsvarlig måte, og at prøvetakingen ikke på noen måte kunne anses som "fornedrende" for den enkelte. Retten kom imidlertid til at bedriften ikke hadde adgang til å pålegge en generell testing av alkoholbruk. Retten synes å ha lagt vekt på at alkoholbruk, i motsetning til bruk av narkotika, ikke er straffbart og at testmetoden var usikker. Dommen er brakt inn for Menneskerettighetsdomstolen i Strasbourg for vurdering i forhold til EMK artikkel 8.

En annen svensk avgjørelse fra 2001 (AD 2001 nr. 3) går i samme retning som disse dommene. Saken gjaldt en ansatt ved et aktivitetssenter for ungdom. Flere av de ansatte var tidligere rusmisbrukere. Ledelsen vurderte det som en fordel at de ansatte hadde bakgrunn fra rusmiljøet. Tanken var at slike personer hadde særlig gode forutsetninger for å oppnå tillit og for å kunne påvirke ungdommer i faresonen. Arbeidstakeren i denne aktuelle saken var tidligere rusmisbruker, og hadde sittet i fengsel på grunn av en narkotikadom. Da ledelsen fikk mistanke om tilbakefall, ville de ta en urinprøve. Arbeidstakeren nektet og ble oppsagt. Arbeidsgiver viste til at det gjennom flere år var foretatt slike tester av virksomhetens ansatte. Et sentralt formål med aktivitetshusets virksomhet var å forebygge mot vold og annen kriminalitet. Det var derfor av avgjørende betydning for virksomheten at de ansatte ikke selv var misbrukere, og at de tok avstand fra narkotika. Spørsmålet for Arbetsdomstolen var om det lå innenfor styringsretten å kreve narkotikatest i dette tilfellet. Arbetsdomstolen la til grunn at spørsmålet måtte avgjøres på grunnlag av en avveining mellom arbeidsgivers behov og hensynet til arbeidstakerens personlige integritet. Domstolen fant det ikke avgjørende at arbeidstakeren opplevde testingen som særlig krenkende fordi dette representerte noe han hadde lagt bak seg etter endt soning. Arbeidsgivers virksomhet og formålet med aktivitetshuset måtte i dette tilfellet veie tyngre.

Svensk og dansk rettspraksis synes, i likhet med norsk rettspraksis, å innrømme arbeidsgiver en relativt vid adgang til å sette i verk kontrolltiltak i kraft av styringsretten, dersom tiltaket fremstår som saklig begrunnet og forholdsmessig ut fra virksomhetens behov og de belastninger som påføres de ansatte. Likevel synes det som om man i dansk og i svensk praksis har lagt til grunn noe videre rammer for styringsretten, enn det som i enkelte tilfeller er lagt til grunn i norsk praksis.

Det kan i denne sammenheng vises til et klagevedtak fra Kommunaldepartementet fra 1997. Saken gjaldt endring av arbeidsreglement. Et oljeselskap ønsket å innføre rusmiddeltesting som innebar bruk av blodprøvetaking mv. De tillitsvalgte motsatte seg dette. Vurderingstemaet for departementet var om kontrolltiltakene ville virke ”ubillige” overfor de ansatte jf. arbeidsmiljøloven § 72 annet ledd. Departementet uttalte blant annet at selskapet drev en virksomhet som krevde et høyt sikkerhetsnivå. Ifølge departementet kunne virksomhetens art for så vidt legitimere en styringsrett for arbeidsgiver som gikk lengre ved innføring av kontrolltiltak overfor arbeidstakere enn man ville godta i andre former for virksomheter. Arbeidsreglementet åpnet likevel etter departements syn for store inngrep i enkeltindividets rettsvern. Reglementet forutsatte blant annet fysiske inngrep på person, slik som kroppsvisitasjon, blodprøve, urinprøve og pusting i alkotestere. I følge departementet måtte det normalt kreves hjemmel i lov for slike kontrolltiltak. Departement var videre av den oppfatning at det grunnlag som best ville eliminere betenkelighetene ved arbeidsreglementet, var samtykke fra arbeidstakeren selv.

Det er vanskelig å finne avgjørende holdepunkter for at norsk rett skulle atskille seg vesentlig fra rettstilstanden i dansk og svensk rett på dette området. De sentrale hovedtrekk ved arbeidsretten, herunder den kollektive arbeidsretten, er langt på vei sammenfallende i de nordiske land. Nordiske avgjørelser om kontrolladgangen i arbeidsforhold vil derfor kunne være relevante momenter i vurderingen av tiltakets rettmessighet også etter norsk rett.

Tariffavtaler - Tilleggsavtale V til Hovedavtalen mellom LO/NHO

Adgangen til kontrolltiltak er regulert i flere hovedavtaler. En av de mest sentrale av disse er Hovedavtalen mellom LO og NHO med Tilleggsavtale V ”Avtale om kontrolltiltak i bedriften”, se vedlegg. Bestemmelser om kontrolltiltak finnes også i Hovedavtalen mellom YS og NHO og Hovedavtalen mellom LO og HSH. Disse avtalene samsvarer i det vesentlige med Hovedavtalen mellom LO og NHO for så vidt gjelder kontrolltiltak.

Hovedavtalen LO-NHO § 9-13 nr. 2 fastsetter at behov, utforming og innføring av interne kontrolltiltak skal drøftes på bedriften. Det er videre bestemt at iverksatte kontrolltiltak bør vurderes med jevne mellomrom. Paragraf 9-13 suppleres av Tilleggsavtale V.

Tilleggsavtale V åpner for et vidt spekter av kontrollformål og kontrolltiltak. Blant annet kan teknologiske, økonomiske, sikkerhets- og helsemessige omstendigheter, samt andre sosiale og organisatoriske forhold i bedriften danne grunnlag for å etablere kontrolltiltak overfor arbeidstakerne. Tiltak som innføres skal ikke gå ut over det omfang som er nødvendig og må være saklig begrunnet i den enkelte bedrifts virksomhet og behov. Med andre ord de samme prinsipper om saklighet og forholdsmessighet som følger av de ulovfestede prinsipper.

Et viktig prinsipp er at alle ansatte eller grupper av ansatte må stilles likt i forhold til de kontrolltiltak som gjennomføres. Grupper som stilles likt kan for eksempel være alle som arbeider i eller har adgang til spesielle avdelinger.

Drøftelser med de tillitsvalgte skal ifølge tilleggsavtalen begynne så tidlig som mulig under planleggingen av kontrolltiltaket, slik at det kan bli tatt hensyn til både innvendinger og forslag til endringer.

De ansatte skal få informasjon om kontrolltiltaket før det settes i verk. Det innebærer blant annet informasjon om formålet med kontrollen, de praktiske konsekvenser av tiltaket og hvordan kontrollen vil bli gjennomført. Dette kan for eksempel bety at de ansatte skal informeres om plassering av spesielle kontrollsteder eller bruk av spesielt kontrollutstyr. Både ledelse og de ansattes representanter har plikt til å medvirke til at tilstrekkelig informasjon blir gitt.

Bedriften står etter tilleggsavtalen fritt til å gjennomføre kontrolltiltaket ved å benytte egne ansatte eller ved å kjøpe tjenester fra virksomheter som har kontroll som spesialitet. Bedriften vil i alle relasjoner ha ansvaret for kontrolltiltaket selv om frittstående virksomhet engasjeres for å gjennomføre tiltaket.

Det følger av tilleggsavtalen at bedriften ved behandling av personopplysninger som skjer i forbindelse med et kontrolltiltak, plikter å drøfte spørsmål knyttet til oppbevaringstid, lagring, makulering etc. med de tillitsvalgte. Tilleggsavtalen viser for øvrig til personopplysningsloven med tilhørende forskrifter.

Avtalen gjelder i utgangspunktet for alle former for kontrolltiltak. Hvis avtalen ikke er fulgt før et kontrolltiltak iverksettes, vil tiltaket kunne bli underkjent av Arbeidsretten som tariffstridig. Avtalen gir anvisning på drøftelser og ikke forhandlinger. Dersom partene ikke blir enige om gjennomføringen av et tiltak, er det arbeidsgiver som bestemmer om det skal iverksettes eller ikke. Det er antatt at avtalen ikke gjelder i situasjoner der bedriften har konkret mistanke om mislige forhold i bedriften, for eksempel tyveri eller underslag. Kontrolltiltak må da rettmessig kunne gjennomføres uten forutgående drøftelser med tillitsvalgte eller informasjon til de ansatte. Dette er f. eks. lagt til grunn av Oslo byrett i en utrykt dom avsagt 20. oktober 1994. Bedriften hadde her engasjert et vaktselskap for å gjennomføre kontroll i forbindelse med konkrete mistanker om at ansatte begikk underslag fra kassen.

Tilleggsavtale V forutsetter at det kan opprettes lokale avtaler om gjennomføring av kontrolltiltak på bedriftene. Det heter at lokal avtale om utforming og gjennomføring av kontrolltiltak skal søkes opprettet hvis en av partene ønsker det. Dersom det ikke oppnås enighet, kan saken bringes inn for hovedorganisasjonene. Selv om dette skulle vært gjort, antas det at bedriftene har anledning til å gjennomføre kontrolltiltaket, særlig dersom en utsettelse er forbundet med vesentlig fare eller ulempe. Her vil det for øvrig spille inn hvor inngripende tiltak det er tale om. Tilleggsavtalen inneholder ikke bestemmelser om resignasjonsplikt i slike tilfeller.

Hovedavtalen mellom LO og NHO med tilleggsavtale V og de øvrige hovedavtaler, fremstår materielt sett i det store og hele som en kodifisering av de domstolskapte prinsippene om saklighet og forholdsmessighet. Det betyr at hovedavtalenes fremste rettslige funksjon er å regulere saksbehandlingen knyttet til gjennomføringen av kontrolltiltak.

Personopplysningsloven

Bakgrunn

Personopplysningsloven trådte i kraft 1. januar 2001.²¹ Loven ble vedtatt for å gjennomføre kravene i EUs personverndirektiv. Loven gjelder for behandling av personopplysninger på alle samfunnsområder, inkludert arbeidslivet. Dette betyr at så lenge kontrolltiltaket innebærer en behandling av personopplysninger, vil loven regulere denne siden av kontrolltiltakets gyldighet.

Fotnote 21) Om loven, se Dag Wiese Schartum: ”Lov om behandling av personopplysninger”, i Lov og rett nr. 4 2000, Nina Melsom: ”Ny lov om personopplysninger - noen arbeidsrettslige problemstillinger”, Tidsskrift for forretningsjus, nr. 4 2001 og Michal Wiik Johansen, Knut-Brede Kaspersen og Åste Marie Bergseng Skullerud: ”Personopplysningsloven med kommentarer”, Oslo 2001. Om personopplysningsloven i arbeidsforhold, se Datatilsynets hjemmeside www.datatilsynet.no (tema: arbeidsliv).

Loven erstatter den tidligere personregisterloven. Generelt bygger den nye loven i større grad på adferdsregler om hvordan de ulike parter skal forholde seg. Slike adferdsregler var tidligere regulert i forskrifter og i de enkelte konsesjoner. Mens personregisterloven først og fremst ble håndhevet av Datatilsynet gjennom konsesjonsregler, bygger den nye personopplysningsloven på en tredelt håndhevelse. For det første håndheves loven gjennom tilsynsmyndighetene (Datatilsynet), men konsesjonsplikten er redusert. Datatilsynet har imidlertid kompetanse til å gripe inn overfor behandling av personopplysninger i strid med loven. For det andre håndheves loven gjennom plikter pålagt den behandlingsansvarlige. Bestemmelsene om internkontroll i §§ 13 og 14 er her særlig viktig. Bestemmelsene pålegger en vidtrekkende aktivitetsplikt, inkludert rutiner som skal sikre etterlevelse av loven. For det tredje er det individuelle perspektivet styrket ved at loven fokuserer sterkt på rettighetsbestemmelser for den enkelte.

Personopplysningsloven bygger på prinsippet om menneskets rett til selv å bestemme over opplysninger om seg selv. Loven vektlegger systemer og rutiner. Formålet er å beskytte den enkelte mot krenkelse av personvernet, jf. § 1. Bestemmelsene i loven må ses i lys av den meget raske informasjonsteknologiske utviklingen, som skaper et behov for en fleksibel og tilpasningsdyktig regulering.

Personopplysningslovens virkeområde

På området kontroll i arbeidslivet omfatter loven de kontrolltiltak som innebærer behandling av personopplysninger i en eller annen form. Dette betyr at tradisjonelle inngrep som for eksempel blodprøver, brevåpning , ad.hoc-kontroller ved konkret mistanke om misligheter osv, i utgangspunktet faller utenfor loven. Slike kontrolltiltak omfattes derimot av vernet av den personlige integritet etter menneskerettighetene og ulovfestede arbeidsrettslige prinsipper.

All elektronisk behandling av personopplysninger omfattes av loven. Manuell behandling omfattes dersom opplysningene tas inn eller skal tas inn i et personregister. Med personopplysninger menes opplysninger som direkte eller indirekte kan knyttes til en fysisk person, jf. § 2 nr. 1. Slik identifikasjon kan skje ved identifiserende kjennetegn som navn, personnummer, kundenummer osv, eller ved at ulike opplysninger ses i sammenheng. Lydopptak omfattes også av loven. Loven har i tillegg særlige regler om fjernsynsovervåking. Med ”behandling” menes innsamling, lagring, sammenstilling, ulike typer analyse og vurderinger mv. Det er med andre ord tale om et meget vidt begrep.

Med elektroniske hjelpemidler menes for eksempel elektroniske adgangskontroller (nøkkelkort), elektroniske sensorer, videoopptak mv. Det er ikke bare personopplysninger som lagres i et EDB-ført register som omfattes. Også enkeltstående logger eller e-postforsendelser faller innenfor begrepet behandling. Definisjonen innebærer at loven rent praktisk får et mye større nedslagsfelt enn det en hittil har vært vant til. Dersom en avdelingsleder eksempelvis sender en e-post med opplysninger om en bestemt ansatt til personalsjefen, faller behandlingen inn under personopplysningslovens virkeområde.²² All elektronisk tekstbehandling vil også omfattes. Det samme gjelder der arbeidsgivers telefonsystem automatisk registrerer og lagrer tidspunkt og telefonnummer for samtaler (såfremt arbeidstakerne kan knyttes til de enkelte telefoner).

Fotnote 22) Se Nina Melsom: 'Ny lov om personopplysninger - noen arbeidsrettslige problemstillinger', Tidsskrift for forretningsjus.

Manuell behandling av personopplysninger omfattes hvis de tas inn, eller er tenkt tatt inn, i et personregister. Med register menes personopplysninger som er lagret systematisk slik at opplysninger om den enkelte person kan finnes igjen. For at det skal være tale om et register i lovens forstand må det være tale om et visst antall personer (mer enn to-tre personer, jf. NOU 1997: 19)

Elektronisk behandling omfatter også enkeltstående behandling, uavhengig av om opplysningene tas inn/skal tas inn i et register. Det er derfor viktig å trekke skillet mellom elektronisk og manuell behandling. Skillet er ikke helt klart, men det viktigste kriteriet synes å være muligheten for å søke i materialet, jf. NOU 1997: 19 s. 57.

Loven gjelder altså alle former for kontrolltiltak i arbeidslivet som innebærer at det innhentes personopplysninger som bearbeides elektronisk eller som (skal) settes inn i et register. Loven omfatter på denne bakgrunn ikke innhenting av opplysninger som ikke bearbeides elektronisk eller registreres. Dette betyr at loven ikke setter begrensninger med hensyn til for eksempel innhenting av referanser, helseopplysninger mv om arbeidssøkere eller ansatte så lenge informasjonen ikke behandles elektronisk eller er eller skal bli satt inn i et register. Dette innebærer for eksempel at notater fra et ansettelsesintervju i utgangspunktet ikke omfattes av loven. Notatene omfattes likevel av loven dersom de legges (eller skal legges) sammen med annen informasjon om søkeren i et register.

Personopplysningsloven er generell og regulerer ikke ulike former for tiltak ut i fra om de er eller kan være særlig inngripende for den enkelte arbeidstaker. Alkohol- og narkotikatesting omfattes for eksempel ikke av personopplysningsloven, så lenge det bare dreier seg om å konstatere om arbeidstakeren er påvirket. Det at slik testing kan virke særlig inngripende for den enkelte arbeidstaker, medfører med andre ord ikke at kontrolltiltaket faller inn under personopplysningsloven. Straks det foreligger analyseresultater knyttet til arbeidstakeren, gjelder imidlertid personopplysningsloven for behandling av disse opplysningene.

Vilkårene for å behandle personopplysninger

For at et kontrolltiltak skal være lovlig kreves det enten lovhjemmel, samtykke fra arbeidstakeren eller at tiltaket er nødvendig ut fra visse angitte formål, jf. § 8. Loven legger generelt stor vekt på samtykke, i samsvar med prinsippet om retten til selv å bestemme over opplysninger om seg selv. Det er i utgangspunktet ingen formkrav til samtykket, men det må være uttrykkelig, frivillig og informert (dvs i form av en erklæring fra arbeidstakeren om at han eller hun godtar behandling av opplysninger om seg selv). Det er den behandlingsansvarlige (arbeidsgiver) som har bevisbyrden for at slikt samtykke er gitt.

Dette betyr at samtykket må komme til uttrykk skriftlig eller i en aktiv handling, for eksempel ved underskrift eller ved å trykke på et ikon i en WEB-rutine. Det stilles strengere krav til samtykket hvis det er tale om et inngripende tiltak. Et generelt samtykke vil være tilstrekkelig for de fleste ordinære tiltak, mens det kreves et spesifikt samtykke hvis det er tale om et inngripende tiltak. Det er antagelig også adgang til å innhente forhåndssamtykke allerede i forbindelse med inngåelsen av arbeidsavtalen hvis tiltaket ikke er for inngripende.

Ved siden av samtykke er det først og fremst alternativene i § 8 a og f som er særlig aktuelle i arbeidsforhold. Det er etter disse bestemmelsene adgang til å behandle personopplysninger hvis behandlingen er nødvendig for å ”oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den registrertes ønske før slik avtale inngås”, eller hvis det er nødvendig for ”at den behandlingsansvarlige eller tredjepersoner som opplysningene utleveres til kan vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen”. Førstnevnte alternativ gjelder blant annet arbeidsavtaler. Sistnevnte alternativ viser til en interesseavveining, og innebærer at arbeidsgiver for eksempel kan innhente og registrere referanser om en arbeidssøker fra en tidligere arbeidsgiver eller føre visse personopplysninger inn i et personellregister (se nedenfor).

Adgangen til å behandle personopplysninger er mer begrenset hvis det er tale om sensitive personopplysninger, jf. § 9. Med sensitive personopplysninger menes opplysninger om rasemessig eller etnisk bakgrunn, politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger, jf. § 2 nr. 8. Arbeidsgiver har etter § 9 f adgang til å behandle sensitive personopplysninger hvis vilkårene i § 8 er oppfylt ( for eksempel hvis arbeidstaker har samtykket) og ”behandlingen er nødvendig for at den behandlingsansvarlige kan gjennomføre sine arbeidsrettslige plikter eller rettigheter”. Bestemmelsen åpner med andre ord for at arbeidsgiver kan behandle for eksempel helseopplysninger i den utstrekning dette er nødvendig for å oppfylle tilretteleggingsplikten etter arbeidsmiljøloven.

Når det gjelder ”personellregistre”, det vil si registre som er opprettet som et ledd i arbeidsgivers personaladministrasjon, legger Datatilsynet til grunn at en del sentrale grunnopplysninger om de ansatte kan behandles med hjemmel i § 8 uten samtykke.²³ Adgangen til behandling av disse opplysningskategoriene antas å følge delvis av personopplysningsloven § 8 f, og kan dessuten være nødvendige for å oppfylle en avtale med den registrerte. Arbeidsgivers behandling av slike opplysninger antas normalt å være nødvendig for å ivareta en berettiget interesse som overstiger hensynet til den enkelte ansattes personvern. Datatilsynet lister opp en rekke opplysningskategorier som tilsynet antar normalt kan behandles uten samtykke:

Navn, adresseopplysninger, statsborgerskap/bostedland, anropsnummer for teletjenester, fødselsnummer og annet nummer knyttet til person (rullenummer/arbeidstakernummer), rubriseringsdata (såsom kategori, type ansatt/representant, distrikt, type varer, kontonummer i regnskap, representantkategori, andre opplysninger til bruk i statistikk og annen bedriftsintern avregning), kjønn, nærmeste pårørende, sivilstand, antall barn og barnas fødselsår, stillingsbetegnelse, yrkesopplysninger som etter overenskomst eller tariffavtale har betydning for lønns- og arbeidsvilkår, opplysninger om utdannelse og praksis, lønns- og provisjonsopplysninger, kontonummer, pensjonsopplysninger, trekk- og skatteopplysninger, ansettelses- og sluttdato (permisjoner e l), sluttårsak, fraværsdato, type fravær og varighet (angivelse av sykdommens art tillates ikke registrert utover det som er pålagt etter arbeidsmiljøloven § 20), dødsdato, firmabil e l, utlånte eiendeler, lån til ansatte eller garanti for lån og opplysning om den ansatte er mobiliseringsdisponert (ja/nei), eventuelt militært løpenummer, grad, og rulleførende avdeling.

Fotnote 23) Publisert på Datatilsynets hjemmeside: www.datatilsynet.no

En slik liste kan ikke være noe mer enn et utgangspunkt. Spørsmålet må alltid vurderes konkret. Det er for eksempel ikke gitt at arbeidsgiver kan behandle opplysninger om sivilstand uten samtykke. Dersom arbeidstakeren lever i et homofilt partnerskap, vil en slik opplysning være sensitiv i henhold til § 2 nr. 8 bokstav d, noe som innebærer at arbeidsgiver må ha hjemmel i § 9 for å behandle opplysningen.

Dersom personellregisteret skal inneholde sensitive opplysninger som for eksempel helseopplysninger, kreves det, i tillegg til at § 8 er oppfylt, at behandlingen oppfyller et av vilkårene i § 9. I forhold til kontrolltiltak i arbeidslivet er særlig § 9 f) av interesse. Bestemmelsen gjelder behandlinger som er nødvendige for at den behandlingsansvarlige kan gjennomføre sine arbeidsrettslige plikter eller rettigheter. Datatilsynet legger til grunn at et slikt krav til nødvendighet innebærer en streng vurdering. Det er derfor antagelig samtykke etter § 9 a) som vil være det mest praktiske alternativ.

Det er i utgangspunktet ikke tilstrekkelig at det foreligger et rettslig grunnlag for behandlingen av personopplysningen (et materielt krav). Personopplysningsloven stiller også prosessuelle krav. Det vil si at arbeidsgiver må følge visse bestemte krav til fremgangsmåten ved behandling av personopplysninger. Det stilles krav om formålsangivelse, meldeplikt, konsesjonsplikt, informasjonsplikt og internkontroll.

Det følger av personopplysningsloven § 11 at formålet med behandlingen må være angitt før behandlingen settes i verk. I praksis må formålet som regel være angitt minst 30 dager før behandlingen starter.²⁴ 30-dagers fristen gjelder derfor ikke behandling som er fritatt for meldeplikt. For behandling som er konsesjonspliktig vil fristen være lengre. Formålet skal være saklig begrunnet i arbeidsgivers virksomhet. Behandlingen vil være lovstridig om formålet ikke er angitt eller om opplysningene brukes utenfor formålet. Formålet kan imidlertid endres hvis det ikke er uforenlig med det opprinnelige formålet. Opplysningene skal som hovedregel slettes når formålet er oppfylt. Et eksempel: En arbeidsgiver som har etablert et adgangskortsystem ut fra sikkerhetsmessige grunner, kan ikke bruke systemet til å kontrollere om de ansatte kommer til avtalt tid uten at arbeidstakerne i tilfelle har samtykket uttrykkelig til dette. I dette tilfellet ivaretar de to kontrollsystemene to formål som ikke er forenlige med hverandre.²⁵

Fotnote 24) Dette følger av reglene om meldeplikt til Datatilsynet i § 32.

Fotnote 25) Eksempelet er hentet fra Nina Melsom:'Ny lov om personopplysninger - noen arbeidsrettslige problemstillinger', Tidsskrift for forretningsjus nr. 4, 2001.

Personopplysningsloven §§ 31-35 og personopplysningsforskriften § 7-16 har regler om melde- og konsesjonsplikt. Det følger av § 31 at all behandling av personopplysninger i utgangspunktet skal meldes til Datatilsynet. For behandling av sensitive personopplysninger kreves konsesjon, jf. § 33. Det er gjort unntak fra utgangspunktet for arbeidsgivers behandling av personopplysninger om søkere og om nåværende eller tidligere ansatte. Arbeidsgivers behandling av slike opplysninger er som hovedregel unntatt fra konsesjons- og meldeplikt. Unntaket gjelder dersom den registrerte har samtykket, opplysningene er knyttet til arbeidsforholdet, og opplysningene behandles som et ledd i personaladministrasjonen. Unntaket fra meldeplikten for behandling av sensitive opplysninger gjelder bare opplysninger om medlemskap i fagforeninger, nødvendige fraværsopplysninger, opplysninger som er registreringspliktige etter arbeidsmiljøloven § 20 og opplysninger som er nødvendige for å tilrettelegge arbeidssituasjonen på grunn av helseforhold.

Dette betyr at det verken er melde- eller konsesjonsplikt for personellregistre som utelukkende behandles manuelt, uavhengig av om personellregisteret også omfatter sensitive personopplysninger. Personellregistre som behandles elektronisk og som ikke inneholder sensitive opplysninger, samt manuell behandling av sensitive opplysninger, er unntatt fra meldeplikt. I utgangspunktet er det derimot konsesjonsplikt for personellregistre som behandles elektronisk og som inneholder sensitive personopplysninger.

Bestemmelsen om internkontroll i § 14 innebærer en plikt for den behandlingsansvarlige (arbeidsgiver) til å vurdere om det er behov for å iverksette tiltak for å oppfylle de krav til behandlingen av personopplysninger som er fastsatt i eller medhold av lov. Tiltakene skal være planlagte, det vil si at de må foreligge på forhånd, primært før behandlingen starter. Tiltakene skal videre være systematiske, noe som innebærer at de skal være resultat av en helhetlig tilnærming og ikke ha karakter av å være tilfeldige. Tiltakene skal ikke minst være dokumenterte, det vil si at de må foreligge i en form som gjør det mulig å tilegne seg kunnskap om dem. Det er ikke plikt til å treffe tiltak på alle punkter. Omfanget av tiltakene er avgrenset til det som anses nødvendig for å oppfylle de rettslige kravene til behandlingen. Organisatoriske, teknologiske og andre praktiske tiltak vil kunne være aktuelle. 26

Ved siden av å pålegge arbeidsgiver (den behandlingsansvarlige) konkrete prosessuelle plikter, gir loven også arbeidstakerne rett til informasjon og innsyn. Etter § 18 har enhver krav på generelt innsyn, det vil si informasjon om det behandles personopplysninger i virksomheten og hvilken type behandling dette i så fall er. Den enkelte har dessuten rett til å få vite om det blir behandlet opplysninger om seg selv. Dersom opplysninger er registrert, har den enkelte krav på å få vite hva disse opplysningene går ut på og hvilke sikkerhetstiltak som er knyttet til behandlingen, jf. § 18 annet ledd. Loven pålegger også arbeidsgiver (den behandlingsansvarlige) en informasjonsplikt overfor den enkelte som det behandles opplysninger om, jf. §§ 19 og 20. Som hovedregel skal det uoppfordret gis informasjon om dette til den det gjelder.

Fotnote 26) Dag Wiese Schartum: 'Lov om behandling av personopplysninger' Lov og rett nr. 4 2000.

Særlige spørsmål som personopplysningsloven reiser i arbeidsforhold

Det kan generelt reises spørsmål om personopplysningsloven innebærer en innskjerping av adgangen til kontroll på arbeidslivets område i forhold til de alminnelige arbeidsrettslige prinsipper som det er forsøkt redegjort for foran. I de domstolskapte prinsippene ligger også helt sentrale personvernelementer innebygget. Personopplysningsloven har likevel et noe annet utgangspunkt. Lovens hovedtanke er på sett og vis at den enkelte person "eier" eller har full rådighet over opplysninger om seg selv. Problemstillingen blir derfor om personopplysningsloven åpner for en videreføring av den arbeidsrettslige praksis på området når kontrollen innebærer behandling av personopplysninger.

Personopplysningsloven §§ 8 a), 8 b), 8 f) og 9 f) åpner for behandling av personopplysninger i forbindelse med kontrolltiltak hvis behandlingen er nødvendig for å oppfylle en avtale, eller for at arbeidsgiver skal kunne oppfylle en rettslig forpliktelse, eller ivareta en berettiget interesse og hensynet til arbeidstakerens personvern ikke overstiger denne interessen, eller at behandlingen er nødvendig for at arbeidsgiver skal kunne gjennomføre sine arbeidsrettslige plikter eller rettigheter. Bestemmelsene må ses i lys av § 11. Arbeidsgiver er etter § 11 nødt til å overholde visse grunnkrav ved behandling av personopplysninger. Personopplysningene må blant annet kun nyttes til uttrykkelig angitte formål som er saklig begrunnet i arbeidsgiverens virksomhet. Personopplysningene må dessuten være tilstrekkelige og relevante for formålet med behandlingen. Personopplysningsloven stiller med andre ord krav om både saklighet og forholdsmessighet. Dette er vilkår som i høy grad må antas å korrespondere med de eksisterende ulovfestede regler om kontrolltiltak i arbeidslivet. Mye taler derfor for at personopplysningsloven på arbeidslivets område må tolkes i lys av de arbeidsrettslige regler. Den ulovfestede arbeidsrettslige vurderingen av saklighet og forholdsmessighet søker dessuten allerede i utgangspunktet å ivareta de sentrale personvernhensyn.

I og med at adgangen til å gjennomføre kontrolltiltak som innebærer behandling av personopplysninger, antagelig må underkastes mer eller mindre den samme saklighets- og forholdsmessighetsvurderingen, både i forhold til de arbeidsrettslige prinsipper og i forhold til personopplysningsloven, vil selve rettmessigheten av tiltaket neppe stå i en vesentlig annen stilling etter ikrafttredelsen av personopplysningsloven.

I forhold til alminnelig personaladministrasjon, innebærer personopplysningslovens bestemmelser om personellregistre og Datatilsynets tolking av loven, antagelig at arbeidsgiver i en viss utstrekning fortsatt kan behandle opplysninger som er nødvendige for å drive forsvarlig personaladministrasjon uten at det innhentes samtykke.²⁷

Fotnote 27) Nina Melsom: 'Ny lov om personopplysninger - noen arbeidsrettslige problemstillinger' Tidsskrift for forretningsjus nr. 4 2001.

Behandling av helseopplysninger er et særlig spørsmål som reiser enkelte dilemmaer i relasjon til personopplysningsloven. I den grad helseopplysninger behandles elektronisk eller skal tas inn i et personellregister, kommer personopplysningsloven til anvendelse. Arbeidsgiver har etter arbeidsmiljøloven blant annet en vidtrekkende plikt til å tilrettelegge arbeidet for gravide, syke og uføre. Oppfyllelsen av disse plikter forutsetter at arbeidsgiveren har tilgang til eller mulighet til å registrere opplysninger om den ansattes helse og/eller funksjonsevne.

Helseopplysninger er eksempler på "sensitive personopplysninger" jf. personopplysningsloven § 2 nr. 8 bokstav c). I forhold til arbeidsgivers behandling av slike opplysninger, blir spørsmålet om vilkårene i personopplysningsloven § 9 første ledd bokstav f) jf. § 8 er oppfylt.

Det følger av personopplysningsloven § 9 første ledd bokstav f) at sensitive personopplysninger kan behandles hvis ”behandlingen er nødvendig for at den behandlingsansvarlige kan gjennomføre sine arbeidsrettslige plikter eller rettigheter”. I tillegg må de alminnelige vilkår for å behandle personopplysninger i § 8 være oppfylt. I Ot. prp. nr. 92 (1998-99) side 110-111 heter det:

"Uttrykket ”arbeidsrettslige plikter eller rettigheter” omfatter alle plikter og rettigheter som hviler på et arbeidsrettslig grunnlag, uansett om grunnlaget er lovgivning, avtale mellom partene i arbeidslivet, eller individuelle arbeidsavtaler (ansettelseskontrakter).”

Personopplysningsloven § 9 første ledd bokstav f) synes på denne bakgrunn å gi arbeidsgiver en relativt vid adgang til å behandle helseopplysninger. Det avgjørende vil være om behandlingen fremstår som "nødvendig". Behovet for behandlingen vil med andre ord være avgjørende.

Det vises for øvrig til forslaget til endringer i folketrygdloven om at arbeidstakere skal ha plikt til å opplyse arbeidsgiver om funksjonsevne i forbindelse med sykemeldinger, se Ot. prp. nr. 29 (2001-02) og Sandmanutvalgets innstilling NOU 2000: 27. Forholdet til personopplysningsloven er ikke avklart. Det er blant annet spørsmål om opplysninger om funksjonsevne vil være en sensitiv opplysning. Mye taler for at slike opplysninger skal regnes som opplysninger om "helseforhold" og dermed være underlagt de skjerpede reglene i personopplysningsloven § 9.

Det er et uavklart spørsmål om hvilken adgang arbeidsgiver har til å innhente og registrere personopplysninger som må regnes som sensitive. I mange tilfeller vil slik innhenting antagelig måtte regnes som ”nødvendig for at den behandlingsansvarlige kan gjennomføre sine arbeidsrettslige plikter eller rettigheter”, det vil i så fall bety at arbeidsgiveren ikke behøver samtykke fra den berørte arbeidstaker eller annen hjemmel i loven. Det ulovfestede forholdsmessighetsprinsippet ivaretar de samme hensyn, og mye kan derfor tale for at personopplysningsloven ikke innebærer noe vesentlig begrensning av arbeidsgivers adgang til å innhente slik informasjon.

Det må likevel være klart at personopplysningsloven medfører en klar innskjerping av kravene til arbeidsgivers saksbehandling ved kontrolltiltak som innebærer behandling av personopplysninger.

Personopplysningsloven legger vekt på samtykke. I forhold til ulovfestede arbeidsrettslige prinsipper reises spørsmålet om kollektivt samtykke er tilstrekkelig etter personopplysningsloven §§ 8 og 9. Personopplysningsloven og EUs personverndirektiv bygger på individuelt informert samtykke som hovedregel. Det er på den annen side viktig å være oppmerksom på den spesielle posisjonen kollektiv representasjon har i arbeidslivet. Personopplysningsloven og EUs personverndirektiv er ikke utformet med arbeidslivet spesifikt i tankene, noe som taler for at de spesifikke trekk ved arbeidslivet må tillegges betydelig vekt ved tolkingen av loven. Det kan ikke helt utelukkes at kollektivt samtykke gjennom tariffavtale etter omstendighetene vil kunne tilfredsstille personopplysningslovens krav til samtykke, men den nærmere rekkevidden av et slikt samtykke er et uavklart spørsmål i norsk rett.

Kasuistikk

Generelt

Kontroll- og overvåkingstiltak kan være av svært ulik karakter. Det kan være tale om for eksempel helseundersøkelser og innhenting av helseopplysninger, telefonovervåking, videoovervåking i arbeidslokalene, adgangskontroll, produksjonskontroll, lesing av e-post og andre elektroniske dokumenter, kontroll av Internett-bruk, ransaking eller kroppsvisitering, bruk av private etterforskere eller testing med sikte på å avdekke rusmiddelbruk. I tillegg til dette kommer innhenting og behandling av opplysninger om den enkelte arbeidstaker ved ansettelser eller som et ledd i personalbehandlingen.

Tiltakene kan ha ulike formål. Et formål kan være å sikre helse, miljø og sikkerhet i forhold til arbeidsmiljø eller ytre miljø. Tiltak kan også være nødvendige for at arbeidsgiver skal kunne oppfylle lovbestemte plikter som for eksempel internkontroll. Et annet formål kan være ”sortering” av arbeidssøkere eller arbeidstakere ved nyansettelser, forfremmelser, oppsigelser osv. Formålet kan også være å avdekke illojalitet eller ineffektivitet. Tiltaket kan ha sammenheng med at det stilles bestemte krav til den ansatte både i og utenfor arbeidstiden, for eksempel i representasjonshensikt. Tiltak kan videre settes i verk for å tilfredsstille krav fra kontraktspartnere, oppdragsgivere eller andre. Videre vil en rekke tiltak gjerne være begrunnet i arbeidsgivers personaladministrasjon, for eksempel ved registrering av opplysninger om de ansatte.

I det følgende gis det en oversikt over en del av de kontrolltiltak vi kjenner fra arbeidslivet. I forbindelse med de enkelte tiltakene, gis det noen korte kommentarer om de rettslige utgangspunkt og de slutninger som trolig følger av de ulovfestede prinsipper om saklighet og forholdsmessighet. Det refereres også til rapporter og utredninger der dette finnes. Det sier seg selv at det ikke er mulig å gi en uttømmende redegjørelse for de ulike kontrolltiltak. De tiltak som behandles er i stedet kontrolltiltak som antas å være praktisk viktige, og som samtidig illustrerer ulike aspekter ved problemstillingen om gyldigheten av kontrolltiltak. Redegjørelsen er ment å være en oversikt over rettsområdet og problemstillingene blir derfor ikke drøftet i detalj.

Ansettelsesprosessen

Selv om det formelt sett ikke er tale om et forhold mellom arbeidsgiver og en arbeidstaker, hører spørsmålet om hvilke opplysninger en arbeidsgiver kan kreve eller be om fra en arbeidssøker til temaet kontrolltiltak i arbeidslivet. Det samme gjelder spørsmålet om hvilke øvrige undersøkelser som kan foretas om den arbeidssøkendes person.

Arbeidsmiljøloven § 55 A setter grenser for hvilke opplysninger en arbeidsgiver har adgang til å innhente i forbindelse med ansettelser. Det fremgår av bestemmelsen at det er forbudt å be om opplysninger om holdningen til politiske, religiøse og kulturelle spørsmål, om medlemskap i lønnstakerorganisasjoner og om homofil legning og samlivsform. Forbudet gjelder både å spørre direkte om slike forhold og å innhente opplysninger hos andre, for eksempel hos tidligere arbeidsgivere og kolleger. Krav om slike opplysninger kan heller ikke tas inn i stillingsannonsen. Bestemmelsen gjør unntak fra forbudet hvis slike opplysninger er begrunnet i stillingens karakter eller hvis det inngår i formålet for virksomheten å fremme bestemte politiske, religiøse eller kulturelle syn og stillingen er av betydning for gjennomføringen av formålet. I slike tilfeller må det fremgå av utlysningen at slike opplysninger vil bli krevet av søkerne.

Tilsvarende begrensninger følger av ILO konvensjon nr. 111 (1958), som er ratifisert av Norge.

Forholdet til arbeidsmiljøloven § 55 A har vært behandlet av Høyesterett ved flere anledninger. I Rt. 1980 s. 598 hadde en tannteknikermester avertert etter: ”tanntekniker (uorganisert)”. Tannteknikermesteren ble frifunnet i byretten. Høyesterett var imidlertid uenig i at det kunne gjøres unntak på grunn av stillingens karakter. Retten uttalte blant annet at unntaket først og fremst siktet til det faglige arbeidet som arbeidstakeren skulle utføre. I den andre avgjørelsen i Rt. 1986 s. 1250 var spørsmålet om Diakonhjemmets sosialhøgskole kunne be søkere til lærerstillinger om å opplyse om sitt forhold til den kristne tro. Høyesterett slo fast at unntaket i § 55 A ikke bare gjaldt forhold som knyttet seg til en absolutt nødvendig kvalifikasjon for de enkelte stillinger. Det måtte være adgang til å stille spørsmål om livssyn i de tilfeller der de fleste innenfor stillingskategorien, etter gjeldende retningslinjer, skulle dele et slikt kristent livssyn. Skolen hadde et kristent formål, og denne ordning var nødvendig for å gjennomføre institusjonens formål. Blant annet på denne bakgrunn kom Høyesterett til at skolen måtte frifinnes.

Hvis arbeidsgiver forutsetter uplettet vandel og dette har betydning for stillingen, må bedriften trolig kunne stille spørsmål om søkeren er tidligere straffet, eller er siktet eller satt under tiltale for straffbare forhold. Arbeidssøkeren vil i utgangspunktet ha risikoen for å svare sannferdig. Har søkeren forklart seg usant kan dette etter omstendighetene gi grunnlag for oppsigelse eller avskjed. Det følger for øvrig av Justisdepartementets forskrifter av 20. desember 1974 nr. 4 om strafferegistrering § 12 at det som hovedregel ikke er adgang for arbeidsgivere til å innhente politiattest. Unntak gjelder for enkelte stillinger innen luftfart og farmasøytisk industri og for stillinger der det gjelder lovbestemte krav til vandel (for eksempel dommerfullmektiger og stillinger i politi og påtalemyndighet). Arbeidsgiver kan neppe omgå bestemmelsene i forskriften § 12 ved å forlange at den ansatte eller arbeidssøkende, fremlegger opplysninger fra Strafferegisteret ved å benytte seg av sin egen rett til innsyn etter forskriften § 6.

Som ledd i en tilsettingsprosess er det blitt mer vanlig i de siste tiår å foreta forskjellige typer tester av arbeidssøkeren. Personlighetstester og seminarer hvor arbeidssøkerne skal bevise samarbeidsevner og problemløsningskapasitet er blitt vanligere i både offentlige og private virksomheter. Personlighetstestene kan spenne fra enkel skjematisk kartlegging av den enkeltes jobbutførelse til mer dyptgripende psykologiske utredninger, hvor ikke bare jobbutførelse, men også personlighet kartlegges. Det kan tenkes at enkelte arbeidstakere vil kunne oppleve psykiske belastninger når de utsettes for vurderinger som fremkommer gjennom denne type undersøkelser. Det kan reises tvil om hvilke egenskaper en del av testene som brukes egentlig er egnet til å avdekke. Hvordan testen er lagt opp, virksomhetens begrunnelse for nødvendigheten ved uttestingen, og ikke minst hvordan opplysningene er tenkt eller vil bli brukt, vil være avgjørende i forhold til hvordan dette oppleves for den enkelte.

Dersom testene gjennomføres ved elektroniske hjelpemidler, vil det normalt innebære elektronisk behandling av personopplysninger. Arbeidsgiver må derfor overholde personopplysningsloven. Det samme gjelder hvis personopplysninger som fremkommer av testene legges inn eller skal legges inn i et manuelt personregister.

Helseopplysninger og rusmiddeltesting

Generelt

Opplysninger om en arbeidstakers helsetilstand vil for arbeidsgiver være særlig interessant i to forskjellige faser av et tilsettingsforhold. For det første vil det kunne ha betydning for om arbeidsgiver ønsker å tilsette vedkommende, og senere som ledd i oppfølging og kontroll med virksomhetens arbeidsmiljø.

Breisteinutvalget foretar i utredningen NOU 2001: 4 ”Helseopplysninger og rusmiddelkontroll” en bred gjennomgang av forskjellige typer krav om helseopplysninger som stilles til arbeidssøkende eller til arbeidstakere. Utvalget nevner at det kan se ut som om arbeidsgivere i større grad enn tidligere benytter helsekontroll av arbeidssøkere for å sile ut de søkere som ikke har tilfredsstillende helse i utgangspunktet. Det fremgår blant annet av innstillingen at en del bedriftsleger har ansett det problematisk å gjennomføre helseundersøkelser av arbeidssøkende vitende om at informasjonen kan føre til at søkeren ikke blir ansatt.

Mens helseundersøkelser i tilsettingsprosessen ofte har som formål å "sortere" ut arbeidstakere med helseproblemer, har helsekontroller i bestående arbeidsforhold ofte bakgrunn i krav til kontroll og oppfølging av arbeidsmiljøet. Helseopplysningene kan imidlertid også tenkes benyttet av arbeidsgiver i forbindelse med forfremmelser, omdisponeringer av arbeidsstokken og oppsigelser.

I forlengelsen av spørsmålet om helseopplysninger kommer også spørsmålet om rusmiddeltesting inn. Det er bred enighet om nødvendigheten av rusfrie arbeidsplasser, særlig ut i fra hensynet til sikkerheten i bedriftene. Adgangen til å gjennomføre rusmiddeltesting er likevel et klassisk konfliktemne. Rusmiddeltesting gjennomføres normalt ved utåndings-, urin- eller blodprøve. Mange arbeidstakere opplever slike kontrolltiltak som svært integritetskrenkende.

For en nærmere omtale av ulike typer situasjoner og kontrolltiltak knyttet til helseopplysninger vises det til Breisteinsutvalgets utredning. I det følgende er fokuset den rettslige adgangen til å be om helseopplysninger, eventuelt gjennomføre kontroller av arbeidstakernes helse.

Breisteinutvalgets (flertallets) utgangspunkt er at en arbeidsgiver ikke kan kreve gjennomført helseundersøkelser eller utlevert opplysninger om arbeidstakers helse mot dennes vilje, uten klar hjemmel. Det rettslige grunnlaget for denne type undersøkelser er med andre ord etter utvalgets oppfatning enten samtykke eller ”klar hjemmel”. Spørsmålet som oppstår er hva som menes med klar hjemmel. I forhold til arbeidsgivers styringsrett uttaler utvalget:

”Arbeidsgivers styringsrett vil som hovedregel og i sin alminnelighet ikke være en tilstrekkelig hjemmel for innhenting og bruk av helseopplysninger av arbeidssøkende/arbeidstakere i arbeidslivet.”²⁸

Fotnote 28) NOU 2001: 4 side 41.

Etter en gjennomgang av rettspraksis antar utvalget:

”…den ulovfestede hovedregel er at en arbeidsgiver i sin alminnelighet ikke lovlig kan kreve helseopplysninger om eller helseundersøkelser på arbeidssøkende/arbeidstakere. Utvalget er likevel av den oppfatning at det finnes unntak fra denne hovedregel basert på ulovfestet rett.” 29

Fotnote 29) NOU 2001: 4 side 43.

Utvalget antar at et slikt unntak for hovedregelen, særlig vil kunne være aktuelt i tilfeller hvor arbeidsgiverens virksomhet er pålagt et ”særlig strengt ansvar for sikkerhet, helse og miljø i lovgivningen, og hvor det eksisterer en risiko for (katastrofe) betydelig skade hvis sikkerheten ikke ivaretas”.

Utvalget uttaler videre:

”Det ulovfestede prinsipp vil i henhold til dette kun være aktuelt overfor visse arbeidstakere i stillinger som innbefatter stor risiko for arbeidstakeren selv eller omgivelsene.”

Breisteinutvalget synes å sette nokså snevre rammer for arbeidsgivers adgang til å kreve helseopplysninger eller helseundersøkelser. I forhold til adgangen til å gjennomføre kontrolltiltak knyttet til helseopplysninger, må arbeidsgivers adgang i alle fall strekke seg så langt utvalget antyder. Spørsmålet er om den ulovfestede adgangen til å gjennomføre denne type undersøkelser generelt kan strekke seg noe lenger.

Prinsipielt må alle typer helsekontroller, både kliniske og biologiske, betraktes som inngrep i den enkelte arbeidstakers personlige integritet. Slik kontroll bør derfor begrenses til det som er strengt nødvendig ut fra hensynet til virksomhetens behov. Men selv om helseopplysninger er et ømfintlig område, må de alminnelige ulovfestede prinsipper antagelig gjelde også i forhold til slike opplysninger. Dette er for eksempel lagt til grunn i flere dommer fra den svenske Arbetsdomstolen, se punkt 5.3.2 foran. Det foreligger ikke særskilte holdepunkter for å anta at det rettslige grunnlaget for innhenting av slike opplysninger er annerledes enn for kontrolltiltak i sin alminnelighet. Arbeidsforholdets art, risikoaspektet, helseopplysningens sensitivitet osv vil i stedet komme inn som momenter i vurderingen av kontrolltiltakets saklighet og forholdsmessighet. Det kan derfor neppe utelukkes at for eksempel arbeidsgivers styringsrett i konkrete tilfeller kan gi tilstrekkelig grunnlag for forholdsvis inngripende helseundersøkelser. Relevante helseopplysninger må på denne bakgrunn antas å kunne kreves fremlagt der det er nødvendig for å kunne fungere tilfredsstillende i stillingen og i arbeidsmiljøet.

Det samme utgangspunkt må gjelde i forhold til rusmiddeltesting. Den rettslige adgangen til å gjennomføre slik testing vil bero på en konkret avveining. Dersom det er tale om et særskilt risikoutsatt arbeidsmiljø eller spesielt risikoutsatte stillinger ut fra virksomheten og arbeidets art, vil arbeidsgivers styringsrett antagelig etter omstendighetene kunne gi tilstrekkelig grunnlag for å iverksette slik kontroll.

De ulovfestede prinsippene må ses i sammenheng med den særskilte reguleringen av enkelte typer helseopplysninger. Det følger for eksempel av lov om medisinsk bruk av bioteknologi av 5. august 1994 nr. 56 § 6-7 at det er forbudt å bruke genetisk informasjon i arbeidslivet.

Graviditet

I forlengelsen av dette er det nærliggende også å omtale likestillingsloven og spørsmål knyttet til graviditet. Det antas at en del gravide arbeidssøkere og arbeidstakere opplever å bli forbigått ved ansettelser, opprykk eller endog bli sagt opp på grunn av graviditet. Med andre ord tilsvarende reaksjoner som rammer mange syke arbeidstakere.

Likestillingsloven av 9. juni 1978 nr. 45 § 3 fastslår at forskjellsbehandling av kvinner og menn er forbudt. Lovens § 4 regulerer ansettelse og oppsigelse. Likestillingsloven innebærer at det som hovedregel vil være forbudt å legge vekt på om en søker er gravid ved tilsetting i ledige stillinger. Gravide kvinner kan ikke stilles i en dårligere stilling enn andre på arbeidsmarkedet. Det må i utgangspunktet antas at dette også innebærer et forbud mot å spørre om arbeidssøkeren er gravid eller ikke. En slik forespørsel vil normalt ikke ha saklig grunn, idet arbeidsgiver vil være forhindret fra å vektlegge opplysningen. Det kan stille seg annerledes hvis arbeidsgiver kan dokumentere at opplysningen kun vil ha betydning for å tilpasse arbeidsmiljøet o.l. Det er videre mulig at det foreligger en viss adgang til å vektlegge graviditet hvis det er avgjørende for bedriften at den som ansettes kan arbeide i hele kontraktstiden, typisk ved midlertidige ansettelser i vikariater, tidsbegrensede prosjekter osv.

Et eksempel knyttet til graviditet og midlertidige ansettelser er Rt. 1988 side 766. Saken gjaldt en kvinne ansatt i et vikariat av en varighet på fire måneder. I jobbsøknaden unnlot hun å opplyse om graviditeten. Da søkeren bekreftet sin aksept av arbeidstilbudet opplyste hun at hun var gravid og ville fremme søknad om svangerskapspermisjon ca en måned etter tiltredelse. Det var derfor klart at søkeren bare kunne arbeide i en kort periode av kontraktsperioden. Høyesterett kom, ut fra læren om bristende forutsetninger, til at virksomheten ikke var bundet av jobbtilbudet. Det forelå altså ikke noen bindende arbeidsavtale.

Avslutningsvis kan det være av interesse å se nærmere på to avgjørelser knyttet til enkelte særskilte problemstillinger om helseopplysninger knyttet til alvorlige sykdommer som HIV og Aids.

HIV - AIDS

I Rt. 1988 side 959 (Henki-saken) var spørsmålet blant annet om arbeidsgiver hadde saklig grunn til å avskjedige en barkeeper på grunn av HIV-smitte (på domstidspunktet hadde arbeidstakeren utviklet Aids). Høyesterett kom til at avskjeden ikke var rettmessig og uttalte også at det heller ikke var saklig grunn til å si opp arbeidstakeren på grunn av smittefaren/eventuell frykt for smitte. I og med at bedriften ikke hadde saklig grunn til å si opp arbeidstakeren, er det nærliggende å slutte at bedriften også ville vært avskåret fra å stille spørsmål og be om dokumentasjon i forhold til HIV/Aids. Dette må antagelig gjelde generelt i arbeidslivet, med et mulig unntak for stillinger der slike opplysninger vil være av særlig betydning. Slutningen er imidlertid noe usikker; Henki-saken gjelder avslutning av et arbeidsforhold, og det kan ikke tas for gitt at avgjørelsen har direkte overføringsverdi til ansettelsessaker.

En underrettsdom fra Oslo byrett avsagt 2. juli 1997 går svært langt i å begrense arbeidsgivers adgang til å vektlegge opplysninger om HIV-smitte. Saken gjaldt spørsmålet om gyldigheten av et vedtak om å ikke ansette en HIV-positiv sykepleier i stilling som anestesisykepleier på et offentlig sykehus. Retten kom til at vedtaket var ugyldig, og tilkjente den usaklig forbigåtte sykepleieren erstatning. Retten la betydelig vekt på sakkyndige uttalelser om smitterisiko, og så i stor grad bort fra mer ”irrasjonelle” momenter, som for eksempel reaksjoner fra pasienter. Dommen er et signal om at det skal svært mye til for å kreve opplysninger om HIV/Aids selv i denne typer yrker. Avgjørelsen er likevel spesiell, og det må anses uavklart i hvilken grad norsk rett aksepterer at arbeidsgiver vektlegger opplysninger om denne type sykdom ved tilsetting av arbeidstakere.

Sandmanutvalget

Svensk rettspraksis har i flere avgjørelser omtalt under punkt 5.3.2 tatt stilling til arbeidsgivers adgang til å innhente helseopplysninger og iverksette helse/rusmiddelkontroller. I og med at de samme grunnhensyn gjør seg gjeldende både når det gjelder personvernaspektet og de arbeidsrettslige prinsipper, representerer avgjørelsene trolig også vurderinger som i større eller mindre grad kan benyttes som støtteargumenter ved vurderingen av norsk rett.

Det vises for øvrig til Sandmanutvalgets innstilling, NOU 2000: 27, og Intensjonsavtalen mellom regjeringen Stoltenberg og partene i arbeidslivet fra 3. oktober 2001, der det er foreslått enkelte lovendringer som har sammenheng med spørsmålet om kontroll og overvåking. I Intensjonsavtalen er det forutsatt at arbeidstakerne skal forplikte seg til å gi opplysninger om egen funksjonsevne ved sykemelding, slik at relevante tiltak kan settes inn raskest mulig. Som en oppfølging av Sandmanutvalgets innstilling og partenes intensjonsavtale, har Sosial- og helsedepartementet fremmet forslag om endringer av blant annet folketrygdloven § 8-8 vedrørende krav til medlemmets medvirkning i sykemeldingsfasen, jf. Ot. prp. nr. 29 (2001-02). Det foreslås å innføre en generell plikt for alle arbeidstakere til å opplyse om egen funksjonsevne og til å bidra til at hensiktsmessige tiltak for å tilrettelegge arbeidet blir utredet og iverksatt. Departementet fremhever at arbeidstakeren ikke skal måtte utlevere forhold av privat art, for eksempel pågående utredninger av alvorlig sykdom, psykiske kriser osv.

Som en oppfølging av Sandmannutvalgets innstilling på arbeidsmiljøområdet har Arbeids- og administrasjonsdepartementet utarbeidet et høringsbrev med forslag til endringer i arbeidsmiljøloven. I høringsbrevet foreslås det blant annet å lovfeste en plikt for arbeidsgiver til å tilrettelegge arbeidsplassen for sykemeldte arbeidstakere. Også her er det presisert at arbeidsgiver ikke skal ha adgang til å kreve at arbeidstakeren utleverer medisinsk diagnose eller andre forhold av privat og sensitiv art.

I forhold til behandling av helseopplysninger uttaler Breisteinutvalget³⁰:

"Når det gjelder hva arbeidsgiveren kan bruke opplysningene om arbeidstakerens helse til, følger det av ovennevnte at disse kun kan brukes så langt begrunnelsen for å kreve dem rekker. Opplysningene vil uansett bare kunne brukes til det avtalte/forutsatte formål."

Det kan bemerkes at Breisteinutvalgets forslag til nye bestemmelser om helseopplysninger i arbeidsmiljøloven i liten grad skiller mellom rettmessigheten av å innhente helseopplysninger eller foreta helseundersøkelser, og behandling av helseopplysninger. Dette er som tidligere nevnt i utgangspunktet to forskjellige problemstillinger. Det er ikke gitt at en eventuell rettslig regulering av problemstillingene bør behandles under ett. I Sverige har man for eksempel valgt å regulere spørsmålene i separate bestemmelser.

Fotnote 30) NOU 2001: 4 side 45.

Kroppsvisitasjoner og ransaking mv

Med kroppsvisitasjon siktes det, foruten undersøkelser av kroppens hulrom, til undersøkelser av klær eller gjenstander som noen bærer på kroppen, for eksempel til en lommebok eller veske. Med ransaking siktes det til undersøkelser av andre personlige ting, som kjøretøy, garderobeskap og bagasje. Det er først og fremst virksomheter hvor faren for borttakelse av verdifulle eller farlige produkter er stort, hvor denne type personkontroll vil være særlig aktuelt.

Arbeidsgivers rettslige adgang til å gjennomføre slike kontrolltiltak er ikke fullt ut avklart i norsk rettspraksis. Det er imidlertid klart at det konkrete tiltakets inngripende karakter vil være et helt sentralt moment i vurderingen av hvilket rettsgrunnlag kontrolltiltaket må forankres i.

Det må antagelig legges til grunn at styringsretten gir arbeidsgiver en forholdsvis vid adgang til å iverksette kontrolltiltak som for eksempel rutinemessig kontroll av kjøretøyer og vesker når de ansatte forlater bedriften, så fremt tiltaket ut fra virksomhetens behov er nødvendig og ikke fremstår som uforholdsmessig. Se for øvrig Arbeidsrettens dommer i ARD 1951 s. 201 og ARD 1978 s. 110, omtalt under punkt 5.3.2.

Kroppsvisitasjoner er på den annen side relativt inngripende vedtak, og kan neppe gjennomføres uten samtykke av en eller annen art. Styringsretten er med andre ord neppe tilstrekkelig grunnlag for denne type kontrolltiltak i alminnelighet. Unntak kan muligens tenkes der svært tungtveiende sikkerhets- og risikohensyn gjør seg gjeldende sammen med sterke almene hensyn. Det kan for eksempel være situasjonen ved legemiddelbedrifter og i bedrifter som produserer våpen eller sprengstoff.

I og med av verken ransaking eller kroppsvisitasjoner i seg selv utgjør behandling av personopplysninger, vil personopplysningsloven i utgangspunktet ikke være relevant. Loven vil likevel regulere eventuell behandling av de opplysninger som blir fremskaffet gjennom kontrolltiltaket.

Personlige brev

Åpning og kontroll av brev som er stilet personlig til en arbeidstaker er straffbart etter straffeloven § 145 første ledd. Det er et straffbarhetsvilkår at brevbruddet er uberettiget. Hvis brevet er stilet til virksomheten ved en bestemt ansatt, og fremstår for øvrig som et forretningsbrev, vil det neppe kunne betraktes som straffbart eller ulovlig at en annen ved bedriften åpner brevet.

Bruk av datamaskiner, Internett og e-post

Generelt

Bruk av dataverktøy i arbeidslivet reiser flere problemstillinger om arbeidsgivers adgang til kontroll. IT-systemer gir for eksempel arbeidsgiver gode muligheter for å kontrollere arbeidstakerens aktivitet på Internett, eller lese arbeidstakerens e-post. I takt med integreringen av datasystemer i arbeidslivet og utviklingen av stadig mer avanserte dataverktøy, er det grunn til å tro at nye problemstillinger knyttet til kontrolltiltak vil bli reist.

I den grad kontrolltiltaket innebærer behandling av personopplysninger må arbeidsgiver overholde personopplysningslovens regler. Personopplysningsloven suppleres av ulovfestede prinsipper som har kommet til uttrykk gjennom praksis fra Høyesterett og de øvrige domstoler.

Datalogger

Datasystemer registrerer hendelser i systemet. Slike registre over hendelser kalles gjerne for logger. Ved å studere loggene kan arbeidsgiver finne ut hvem som har gjort hva og til hvilket tidspunkt. Datalogger kan derfor være et effektivt kontrollverktøy for arbeidsgiver. Slik automatisk loggføring er elektronisk behandling av personopplysninger og omfattes derfor av personopplysningsloven.

Behandling av slike logger er i personopplysningsforskriften § 7-11, unntatt fra meldeplikt etter personopplysningsloven § 31 første ledd. Unntaket gjelder kun for behandling som har som formål å administrere systemet eller å avdekke/oppklare brudd på sikkerheten i edb-systemet. Personopplysningene kan heller ikke senere brukes til andre formål. Slik bruk av dataloggene vil normalt oppfylle vilkårene i § 8 f), det vil si at arbeidsgivers interesser vil overstige hensynet til arbeidstakernes personvern.

Annen bruk av dataloggene, for eksempel til å kontrollere den enkelte ansatte, er meldepliktig, og må ha rettslig grunnlag i ett av hjemmelsgrunnlagene i personopplysningsloven § 8.

E-post og private dokumenter

Hvis arbeidsgiver leser arbeidstakerens e-post eller andre private dokumenter, er dette antagelig å regne som en elektronisk behandling av personopplysninger. Dette betyr at vilkårene i personopplysningsloven § 8 må være oppfylt. Arbeidsgiver må med andre ord ha et rettslig grunnlag for å lese e-posten/dokumentene. Et helt sentralt skille går mellom privat og virksomhetsrelatert e-post/dokumenter. I rettspraksis har det også før personopplysningsloven, vært lagt til grunn at arbeidsgiver ikke kan lese private dokumenter arbeidstakeren har lagret på sitt "personlige" område i datasystemet, uten en eller annen form for samtykke.

Arbeidsgiver må i utgangspunktet ha samtykke fra den enkelte arbeidstaker for å kunne lese e-post av privat karakter. Privat e-post må rettslig sett likestilles med et tradisjonelt privat brev i konvolutt. Hvis arbeidsgiver uberettiget leser slik privat e-post, kan straffeloven § 145 annet ledd være overtrådt. Etter denne bestemmelsen er det straffbart å ”bryte” en beskyttelse eller på lignende måte uberettiget skaffe seg adgang til ”data eller programutrustning som er lagret eller som overføres ved elektroniske eller andre tekniske hjelpemidler”.

Virksomhetsrelatert e-post må arbeidsgiver derimot ha rett til å lese. Arbeidsgiver har en berettiget interesse i å lese slik e-post, og denne interessen overstiger hensynet til arbeidstakerens personvern. Vilkårene i § 8 f) er derfor oppfylt. Arbeidsgiver bør likevel informere arbeidstakerne om at virksomhetsrelatert e-post kan bli lest.

Arbeidsgiver kan i medhold av sin styringsrett bestemme at de ansatte ikke skal bruke bedriftens datasystemer til private formål. Dersom datasystemet likevel benyttes til slike formål, vil bedriften antagelig ha rett til å slette private dokumenter/e-post. Arbeidsgiver har på den annen side ikke rett til å lese slike dokumenter selv om datasystemet er benyttet i strid med arbeidsgivers instrukser. En viss adgang til å sjekke om dokumentene er av privat eller virksomhetsrelatert karakter, vil arbeidsgiver antagelig likevel ha.

Kontroll av telefonbruk

Moderne telefonsystemer kan registrere tidspunkt og varighet av utgående og inngående telefonsamtaler, hvor de blir foretatt fra og hvor det telefoneres til. I den grad opplysningene kan knyttes til den enkelte arbeidstaker vil dette være personopplysninger som faller inn under personopplysningsloven.

Tidsregistrering

Med tidsregistrering menes et kontrolltiltak som skal avdekke når arbeidstakeren kommer og forlater arbeidsplassen. Slik tidsregistrering kan skje blant annet ved bruk av stemplingskort, egen rapportering eller ulike typer elektroniske registreringssystemer.

Personopplysningsloven vil være relevant hvis tidsregistreringen skjer ved elektroniske hjelpemidler, eller at opplysningene lagres eller skal lagres i et register. Personopplysningsloven § 8 f) innebærer at tidsregistreringen vil være rettmessig hvis arbeidsgivers interesse i registreringen overstiger hensynet til den enkelte arbeidstakers personvern. Vilkårene i § 8 f) vil antagelig normalt være oppfylt i forhold til denne type kontrolltiltak.

Dagens teknologi gir utstrakt mulighet til å anvende en og samme informasjonskilde til vidt forskjellige former for kontroll. Denne utviklingen vil med all sannsynlighet eskalere. I dag kan bedriften for eksempel utstyre arbeidstakeren med et magnetkort som ikke bare fungerer som adgangskort, men som også fungerer som betalingskort i kantinen. Magnetkortet kan derfor i prinsippet brukes både til forholdsvis triviell adgangskontroll og til slutninger om kosthold og mulighet for å utvikle sykdom. Eksempelet illustrerer en problemstilling som antagelig vil bli mer og mer utbredt. Det vil trolig skje en utvikling mot at færre virkemidler gir større mulighet for kontroll.

Fjernsynsovervåking

Oversikt

Et stadig mer utbredt kontrolltiltak er videoovervåking av de ansatte. Slik overvåking kan skje både ved opptak og ved bruk av monitor (uten lagring). Overvåkingen kan være spesifikt rettet mot de ansatte, for eksempel ved at kasseområdet filmes, eller som et ledd i en generell overvåking av for eksempel et butikklokale. Slik overvåking reiser særlige spørsmål knyttet til personopplysningsloven.

Domstolene har ved flere anledninger tatt stilling til spørsmålet om hemmelig videoopptak kan brukes som bevis i straffe- eller arbeidsrettssaker. Et viktig spørsmål i disse sakene har vært om opptaket har skjedd på en ulovlig måte. Det vises i den forbindelse til punkt 5.3.2. Personopplysningsloven vil i stor grad regulere spørsmålet om lovligheten av denne type videoopptak.

I utgangspunktet er personopplysningsloven teknologinøytral, og regulerer all behandling av personopplysninger ved hjelp av generelle bestemmelser. Loven gjelder således all behandling av personopplysninger, også når opplysningene fremkommer som levende bilde og/eller lyd. Forutsetningen er at det aktuelle bilde/lydmaterialet tilfredsstiller lovens alminnelige krav i § 3, det vil si at det enten er tale om opplysninger i elektronisk form eller at materialet foreligger som et ”personregister”, jf. § 2 nr. 3. ”Fjernsynsovervåking” er imidlertid gjenstand for særskilte, supplerende bestemmelser som står i kapittel VII i loven. Fjernsynsovervåking betegner en bestemt form for behandling av personbilder, se straks nedenfor.

For at bestemmelsene i kapittel VII skal komme til anvendelse, må formålet med behandling av personbilder være personovervåking. I alle fall må det være påregnelig at bildematerialet vil omfatte gjenkjennelige fysiske personer som vil kunne ha verdi for den som overvåker. Overvåking av et industriområde vil kunne være rettet inn mot mange trusler (for eksempel brann, lekkasjer mv), herunder trusler som forårsakes av personer. Det er ikke et vilkår for å komme inn under bestemmelsene i kapittel VII at det kun foregår personovervåking. Likevel må det være nærliggende og påregnelig at opptaket vil omfatte fysiske personer.

For at det skal være ”fjernsynsovervåking” må det videre skje en bildebehandling som er vedvarende eller regelmessig gjentatt, se personopplysningsloven § 36. "Regelmessig gjentatt” omfatter også tilfeller der det er et datamaskinprogram som styrer utførelsen av overvåkingen i intervaller som er nedfelt i systemet. I tillegg kreves at slik vedvarende eller regelmessig gjentatt bildebehandling skjer ved hjelp av utstyr som enten er fjernstyrt eller som er automatisk virkende. Vi står altså overfor fire typesituasjoner:

	Vedvarende	Regelmessig gjentatt
Fjernstyrt
Automatisk virkende

”Fjernsyn” kan få mange til å tenke ”televisjon”, men loven forutsetter ikke at det bildematerialet fra overvåkningen fremkommer ved bruk av kringkasting eller noe spesielt apparat. Således vil ethvert hjelpemiddel for å fremstille bilder være omfattet av det som regnes til ”fjernsynsovervåking”, det vil si fjernsynskameraer, videokameraer, fotografiapparater mv. I utgangspunktet kreves det heller ikke at det skjer opptak; det er nok at bildet overføres og ”sendes rundt hjørnet”.

Særreglene for fjernsynsovervåking gjelder i hovedsak to forhold. For det første er det særlige bestemmelser om lovens virkeområde for fjernsynsovervåking. Disse innebærer en utvidelse i forhold til det som følger av hovedbestemmelsen om virkeområde i § 3. For det andre fastsettes det spesielle forholdsnormer og kompetansenormer vedrørende fjernsynsovervåking, se §§ 38 - 41.

Kapittel 8 i forskriften til personopplysningsloven inneholder enkelte særbestemmelser om fjernsynsovervåking. Bestemmelsene inneholder blant annet enkelte presiseringer av politiets bruk av opptak, sletting og rett til innsyn. Disse detaljbestemmelsene behandles ikke nærmere her.

Virkeområdet for de særlige reglene om fjernsynsovervåking

Bestemmelsene i § 37 om virkeområde inneholder flere elementer. For det første sies det at særreglene om fjernsynsovervåking i loven (§§ 38 -41) gjelder ”for all fjernsynsovervåking”. Det siktes her til at loven gjelder uavhengig av hvilken teknologi som anvendes, dvs uavhengig av om denne kan klassifiseres som elektronisk (digital) eller analogisk.

I § 37 første ledd bestemmes det videre at reglene om rettslig grunnlag for å behandle personopplysninger (§§ 8 og 9), kravene til formålsangivelse og opplysningskvalitet (§ 11) og bestemmelsene om meldeplikt (§§ 31 og 32), skal gjelde all fjernsynsovervåking. En viktig effekt av dette er at også fjernsynsovervåking der det kun skjer analoge opptak (VHS), enten må være basert på samtykke, lovhjemmel eller "nødvendighet". I mange slike tilfeller er samtykke lite aktuelt, og lovhjemmel for overvåking vil bare eksistere i særlige situasjoner. I praksis vil derfor nødvendighetskriteriene i § 8 bokstavene a-f (og lignende i § 9) være viktige grunnlag for slik overvåking.

Lovgiver har ikke ønsket å beholde så strenge krav til det rettslige grunnlaget for å drive fjernsynsovervåking når formålet med overvåkningen er å avdekke kriminell adferd, jf. § 2 nr. 8 bokstav b. Paragraf 37 første ledd bestemmer derfor at kravene til særskilt grunnlag for å behandle sensitive opplysninger ikke skal gjelde. De alminnelige kravene etter § 8 må likevel være tilfredsstilt.

Dersom fjernsynsovervåkingen innebærer lagring av bildemateriale, gjelder hele loven, det vil si uavhengig av om behandlingen av bildematerialet er elektronisk og kommer inn under virkeområdet etter § 3. Forutsetningen er imidlertid at opplysninger om bestemte personer kan gjenfinnes på bildene, se § 37 annet ledd.

For slik fjernsynsovervåking som kommer inn under lovens virkeområde i henhold til § 37 annet ledd, er det gjort unntak fra konsesjonsplikten i § 33. Det kreves derfor ikke konsesjon for å drive fjernsynsovervåking (selv om det skjer opptak), så sant overvåkingen har til formål å avdekke kriminell adferd, jf. § 2 nr. 8 bokstav b.

Grunnkrav for å drive visse former for fjernsynsovervåking

I tillegg til å tilfredsstille grunnkravene i § 8 og (eventuelt) § 9, plikter den behandlingsansvarlige etter § 38 i visse tilfeller å vurdere om det foreligger et særskilt behov for fjernsynsovervåking. Dette gjelder dersom overvåkingen gjelder et ”sted hvor en begrenset krets av personer ferdes jevnlig". Bestemmelsen må forstås slik at uansett om det foreligger lovhjemmel, samtykke eller ”nødvendighet” etter §§ 8 eventuelt 9, er fjernsynsovervåking på nevnte steder likevel ikke tillatt med mindre det foreligger et særskilt behov for overvåkingen.

Det kreves ikke at det bare er en begrenset krets av mennesker som ferdes på stedet, en ubestemt krets av mennesker kan ferdes der i tillegg. På den annen side vil steder der enhver har adgang falle utenfor bestemmelsen. Overvåking av den delen av lokalene på en bensinstasjon der alle kunder har tilgang, kan med andre ord skje uten at tiltaket vurderes i henhold til § 38. Derimot vil personalrom og overvåking av de deler av et felleslokale der det primært er betjeningen som har tilgang (for eksempel kasseområde og ellers bak disk for kundebetjening) være omfattet. Selv om den aktuelle personkretsen skal være "begrenset", trenger den ikke være liten.

Et særskilt behov for fjernsynsovervåking innebærer at det må være identifisert en konkret trussel som overvåkingen kan virke inn på. Det er altså ikke nok at slik overvåking er ”vanlig”, at ”det alltid er greit å sikre seg” eller lignende. På den annen side trenger ikke trusselen være realisert; banken kan sette kameraer i ekspedisjonslokalet og trenger ikke vente til det første ranet. Det er ikke nok at det foreligger en vanlig mulighet for kriminalitet. En kioskeier kan ikke sette opp kamera for å kontrollere betjeningen bare fordi det tidligere har hendt at penger har manglet i kassen. For at det skal foreligge et ”særskilt behov” må det trolig være aktuelle problemer med underslag eller lignende, og beløpet må ikke være helt ubetydelig. Noen klar grense er det selvsagt vanskelig å trekke, men generelt skal gevinstene ved overvåkingen stå i et rimelig forhold til belastningene som overvåkingen skaper for den enkelte som blir overvåket.

Utlevering av billedopptak fra fjernsynsovervåking

Utlevering av personopplysninger til tredjemann er en form for behandling av personopplysninger, jf. § 2 nr. 2. Arbeidsgiver må derfor forankre utleveringen i et av de rettslige grunnlag etter §§ 8 og 9. Det stilles derimot i utgangspunktet ikke andre krav ved utlevering av opplysninger enn ved annen behandling. Se likevel de særlige bestemmelsene om overføring av personopplysninger til utlandet i §§ 29 og 30. Når det gjelde billedopptak fra fjernsynsovervåking (men ikke andre billedopptak, jf. § 36), er det imidlertid innført særlige begrensninger i § 39 ved at utleveringsadgangen er begrenset til tre situasjoner.

Utlevering av opptak kan for det første skje dersom den det er opptak av gir sitt samtykke til dette. Dersom det er flere personer på opptaket må samtykke innhentes fra alle de personer som kan identifiseres. Utlevering kan også skje dersom det er lovhjemmel for det. For det tredje kan utlevering skje til politiet ved etterforskning av straffbare handlinger eller ulykker. Bestemmelsen om utlevering av slikt materiale er uttømmende. Det betyr at andre begrunnelser for å utlevere slike billedopptak ikke kan anføres. Utlevering kan for eksempel ikke grunngis med at utlevering er ”nødvendig” for formål som ellers kan være grunnlag for behandling av personopplysninger etter §§ 8 og 9.

Varsling av fjernsynsovervåking

Det skal etter § 40 varsles om at fjernsynsovervåking finner sted. Det gjelder både når overvåkingen gjelder offentlig sted og når den skjer der en begrenset krets av mennesker ferdes jevnlig. Paragraf 40 er en videreføring av den tidligere bestemmelsen i straffeloven § 390 b som kun krevet varsling av overvåking på offentlig sted og arbeidssted.

Varselet om overvåkingen må ha en størrelse, utforming og plassering som gjør at det fremtrer som tydelig informasjon. Gjelder overvåkingen et større område, er det som regel tilstrekkelig å varsle ved passasjene inn til området, men er området betydelig må det også varsles inne på det overvåkede området. Varselet skal inneholde opplysning om at overvåking skjer, og skal i tillegg angi hvem som er behandlingsansvarlig. Arbeidsgiver må derfor informere de ansatte om overvåkingen. Det kan også være hensiktsmessig å oppgi et telefonnummer eller en instans som har det daglige ansvaret for overvåkingen.

Privatøkonomiske forhold og bierverv

En arbeidsgiver kan i mange tilfeller ha en interesse av å føre kontroll med arbeidstakernes bierverv, nærings- og privatøkonomiske forhold. Det kan være for å sikre at de ansatte i betrodde stillinger har den nødvendige uavhengighet til kunder og konkurrenter, eller det kan være for å sikre at arbeidstakerne ikke selv driver konkurrerende virksomhet på sin fritid.

Arbeidsgiver har antagelig en viss kontrolladgang i kraft av sin styringsrett, men det er uavklart i norsk rettspraksis hvor langt denne styringsretten går i forhold til slik kontroll. I den grad kontrollen innebærer behandling av personopplysninger som faller inn under personopplysningslovens virkefelt, må behandlingen forankres i personopplysningsloven §§ 8 eller 9 jf. § 11.

Produksjonskontroll

En grunnleggende form for kontroll av de ansatte er kvalitets- og kvantitetskontroll. Det vil si mer eller mindre rutinemessig kontroll med det arbeidstakerne produserer. Formen for slik kontroll kan ta mange former. Stikkprøver, rapporteringsplikt og tester av produkter er bare noen eksempler på aktuelle kontrolltiltak.

Arbeidsgivers styringsrett må antas i nokså vid utstrekning å gi rettslig grunnlag for slike kontrolltiltak så lenge det er tale om nødvendig kontroll for å sikre virksomhetens hovedformål om produksjon av varer eller tjenester. Det er for øvrig forholdsvis vanlig at spørsmålet er nærmere regulert i tariffavtaler ved virksomheten. I utgangspunktet vil personopplysningsloven ikke omfatte denne type kontrolltiltak. Dersom resultatet av kontrollen knyttes opp mot den enkelte ansatte kan dette derimot forholde seg annerledes.

Kontrolltiltak ved konkret mistanke om misligheter

Forutsetningen for gjennomgangen hittil har i hovedsak vært at kontrolltiltaket har vært rutinemessig. Det vil si gjennomført løpende, som en ordinær del av driften, uten at arbeidsgiver har hatt konkret mistanke om misligheter hos den enkelte arbeidstaker.

Dersom arbeidsgiver har en velbegrunnet mistanke om misligheter av en viss betydning, vil avveiningen av hensynet til arbeidsgivers behov for kontrolltiltak på den ene side og personvernhensynet på den annen side, slå noe annerledes ut. Dette taler for at arbeidsgivers adgang til kontroll går noe lenger i slike tilfeller. Det er likevel grunn til en viss varsomhet med å strekke argumentet for langt. Ved mistanke om straffbare forhold er det politiet som først og fremst har etterforskningsansvaret. Arbeidsgiver står derfor ikke fritt til å for eksempel leie inn en privat etterforsker med det formål å få avklart forholdet.

I denne forbindelse vil spørsmålet om betydningen av unndratt kontroll ofte reises. Hvorvidt en slik unndratt kontroll kan gi grunnlag for arbeidsrettslige beføyelser som for eksempel oppsigelse eller avskjed faller i utgangspunktet utenfor temaet for denne fremstillingen. Rettsavgjørelser knyttet til unndragelse fra arbeidsgivers kontroll er likevel ikke uten interesse for spørsmålet om rettmessigheten av kontrolltiltak. Det må antas at retten i de tilfellene der for eksempel oppsigelse har blitt ansett som rettmessig på grunn av arbeidstakerens unndragelse fra kontrolltiltak, faktisk har lagt til grunn at selve kontrolltiltaket var rettmessig.

Fra rettspraksis kan nevnes en dom i Eidsivating lagmannsrett 14. juni 1984 der A sammen med to andre arbeidstakere var mistenkt for tyveri av kjøttvarer fra bedriften. Etter at de to hadde vedgått ulovlig borttakelse av varer, ba bedriften om å få undersøke As bil. A samtykket til dette, men opplyste at han først måtte hente bilnøklene. A flyktet deretter fra stedet og kom seg unna uten at kontroll var gjennomført. Han ble deretter avskjediget. Lagmannsretten kom enstemmig til at avskjeden var gyldig, og la avgjørende vekt på at A på oppsiktsvekkende måte hadde unndratt seg kontroll.

I Oslo byretts dom av 11. februar 1983 var den ansatte mistenkt for å ha stjålet fra bedriftens delelager. Avskjeden ble underkjent, men retten fant at vilkårene for saklig oppsigelse forelå. Det ble lagt en viss vekt på at arbeidstakeren hadde unnlatt å medvirke til at et planlagt kontrollbesøk i hennes hjem, for å avkrefte mistanken, kunne gjennomføres.

I Asker og Bærum herredsretts dom av 15. mai 1986 kom retten til at det forelå oppsigelsesgrunn ved at to ansatte ved konkret mistanke om misligheter unndro seg kontroll og samtidig forulempet en Securitas-vakt. Retten uttalte at forholdet representerte et slikt tillitsbrudd at oppsigelse var saklig.

I en dom avsagt av Ytre Sogn herredsrett 15. februar 1992 var saksforholdet at bedriften hadde mistanke om at en bussjåfør var alkoholpåvirket i tjenesten. Da politiet ble tilkalt for å gjennomføre alkoholtest stakk sjåføren av. Sjåføren ble deretter meddelt avskjed. Rettens flertall fant det ikke bevist at den ansatte hadde kjørt buss i påvirket tilstand, men kom til at avskjeden likevel var berettiget fordi den ansatte hadde unndratt seg kontroll på en oppsiktsvekkende måte.

Ut over dette synes det å foreligge få rettsavgjørelser som er egnet til å belyse de mulige rettslige konsekvenser av manglende medvirkning til og unndragelse fra rettmessig personkontroll i arbeidsforhold. Det er dessuten grunn til å advare mot å legge for stor vekt på denne type avgjørelser. I og med at spørsmålet for domstolen har vært gyldigheten av oppsigelse/avskjed, og ikke selve kontrolltiltaket, er det ikke gitt at retten har foretatt en grundig vurdering av det underliggende spørsmål om rettmessigheten av kontrolltiltaket.

Spørsmålet om arbeidsgivers kontrolladgang går lenger enn ellers ved begrunnet mistanke om mislige forhold er ikke fullt ut avklart i norsk rett.

Oppsummering

Arbeidsgivers adgang til å iverksette kontrolltiltak avhenger som vi har sett i stor grad av en konkret vurdering av arbeidsgivers behov målt opp mot tiltakets art og hvor inngripende kontrollen vil virke overfor den enkelte ansatte. Det er antagelig en absolutt gyldighetsbetingelse for pålegg om kontroll at kontrollen ikke virker krenkende overfor arbeidstakeren. Kontrolltiltaket kan heller ikke gjennomføres hvis formålet kan oppnås ved andre mindre inngripende tiltak. De ansatte skal ikke utsettes for unødig ulempe eller tap. Kontrolltiltaket må med andre ord være forholdsmessig og saklig begrunnet i virksomhetens drift eller formål.

Spørsmålet om personopplysningslovens regler kommer til anvendelse vil bero på hvorvidt de opplysninger som fremkommer gjennom kontrollen blir gjenstand for behandling etter lovens § 2, eventuelt om selve kontrollen er av en slik art at den kommer inn under personopplysningslovens regler, f.eks. reglene om fjernsynsovervåking, jf. også punkt 5.5.8.

Underutvalgets vurderinger – disposisjon

I de følgende kapitler vil underutvalget gi sine vurderinger når det gjelder behovet for eventuell særregulering av kontroll/overvåking i arbeidslivet og skissere det nærmere innholdet i en slik regulering.

Underutvalget gir innledningsvis, i kap. 7, en kort vurdering av gjeldende rett for derigjennom å gi en foreløpig konklusjon for hvilket behov som foreligger når det gjelder ny regulering på dette feltet. En eventuell. særregulering betinger at enkelte sentrale regulatoriske spørsmål avklares. I kap. 8 blir det således redegjort for alternative reguleringsformer (lov – avtale), forholdet mellom lov - og forskriftsregulering, alternative skisser for plassering av nye bestemmelser samt underutvalgets anbefaling i den forbindelse.

Etter at det er tatt stilling til om det er behov for ny regulering og hensiktsmessig plassering av denne , gir underutvalget i kap. 9 tre alternative skisser til lovstruktur og vurderer disse opp mot hverandre. Når det gjelder det nærmere materielle innholdet i nye regler som skal plasseres inn i denne strukturen, gjør underutvalget i kap. 10 rede for hvilke sentrale avveininger som bør ligge til grunn for de materielle regler og gir avslutningsvis en skisse til noen mulige hovedregler i kap. 11.

Vurdering av rettstilstanden

Adgangen til å foreta kontroll

Adgangen til å iverksette kontrolltiltak i arbeidslivet er dels regulert i en fragmentarisk og lite tilgjengelig lovgivning, dels gjennom ulovfestede arbeidsrettslige prinsipper som i utgangspunktet er klare, men som muligens er lite tilgjengelige og kan ha lav informasjonsverdi. Det kan være tvil om den arbeidsrettslige kontrolladgangens relevans i forhold til personopplysningsloven og det er lite nyere rettspraksis eller forvaltningspraksis på området i Norge. Det kan derfor være en viss rettslig usikkerhet om rettstilstanden, selv om det er godt samsvar mellom norsk praksis og f. eks. ny svensk praksis.

Behandling av personopplysninger om ansatte

Personopplysningsloven er en generell lov som i seg selv er vanskelig å forstå og som ikke er tilpasset arbeidslivet. Det finnes flere uavklarte spørsmål som tariffavtalens stilling, kollektivt samtykke, forholdet mellom de arbeidsrettslige prinsipper og hjemmelsgrunnlagene i §§ 11, 8 og 9 osv. Det kan videre være uklart om personopplysningsloven i tilstrekkelig grad ivaretar hensynet til arbeidsgivers alminnelig personaladministrasjon.

Forholdet mellom de arbeidsrettslige prinsipper for kontroll og personopplysningsloven

Problemstillingen

Som nevnt under pkt. 5.4.4, kan det generelt spørres om personopplysningsloven innebærer en innskjerping på arbeidslivets område hva gjelder gjennomføring av kontrolltiltak. Står arbeidsgiver etter personopplysningsloven mindre fritt når det gjelder å sette i verk tiltak, eller har de alminnelige arbeidsrettslige prinsippene fortsatt gyldighet også innenfor lovens anvendelsesområde? Med andre ord, åpner personopplysningsloven for behandling av personopplysninger i forbindelse med kontrolltiltak som isolert sett vil være rettmessige ut fra de arbeidsrettslige regler og prinsipper på området? Dette avhenger blant annet av om de arbeidsrettslige prinsippene (saklighet/proporsjonalitet) kan innfortolkes i lovens § 8 a, § 8 f og § 9 f (jf. § 11) som åpner for tiltak hvis det er nødvendig for å gjennomføre arbeidsrettslige rettigheter og plikter, for å oppfylle avtale, eller for å ivareta en berettiget interesse.

Problemstillingen er særlig interessant i forhold til den alminnelige personaladministrasjon som gjennomføres på arbeidsplassene i det daglige. Det vil gjerne være tale om helt berettigede behov fra arbeidsgivers side for å drive forsvarlig personaladministrasjon. Forutsatt at (bl.a) hensynet til saklighet og proporsjonalitet er ivaretatt, vil arbeidsgiver, etter en rent arbeidsrettslig kontekst, være berettiget til å gjennomføre slike tiltak. Spørsmålet er om personopplysningsloven innebærer en innskjerping i forhold til det arbeidsrettslige utgangspunkt.

Personopplysningsloven § 8 og 9 - særlig i forhold til ordinær personaladministrasjon

Personopplysningsloven § 8 krever at behandling av personopplysninger, dvs behandling som foregår elektronisk eller at opplysningene inngår/skal inngå i et manuelt register, enten har grunnlag i samtykke fra den opplysningen gjelder eller at behandlingen har et særskilt lovgrunnlag eller at behandlingen er nødvendig av en av følgende grunner:

å oppfylle en avtale med den registerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås,
at den behandlingsansvarlige skal kunne oppfylle en rettslig forpliktelse,
å vareta den registrertes vitale interesser,
å utføre en oppgave av allmenn interesse,
å utøve offentlig myndighet, eller
at den behandlingsansvarlige eller tredjepersoner som opplysningene utleveres til kan vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen.

Foruten adgangen til å behandle opplysninger der dette følger av lov (§ 8 første ledd) er det særlig alternativene i § 8 bokstav a og f som er relevant når det gjelder kontrolltiltak i arbeidslivet. Dersom det er aktuelt å behandle sensitive personopplysninger kreves det, i tillegg til at vilkårene i § 8 er oppfylt, at behandlingen dekkes av ett av alternativene i § 9. Særlig aktuell er § 9 bokstav f hvoretter arbeidsgiver kan behandle opplysninger som er ”nødvendige for å gjennomføre arbeidsrettslige plikter eller rettigheter”. Behandling av personopplysninger må dessuten følge lovens øvrige krav, f. eks at det må angis et saklig begrunnet formål for behandlingen, jf. lovens § 11.

Når det gjelder personopplysninger som regelmessig er nødvendig i ordinær personalbehandling, har Datatilsynet antatt at noen ”grunnopplysninger” i et arbeidsforhold kan behandles uten samtykke. Tilsynet legger til grunn at behandling av disse grunnopplysningene dels følger av lov (§ 8 første ledd), at de kan være nødvendig for å oppfylle en (arbeids)avtale med den registrerte (§ 8 bokstav a) eller at behandlingen kan være nødvendig for å ivareta en berettiget interesse som hensynet til den ansattes personvern ikke overstiger (§ 8 bokstav f).

Datatilsynet regner opp følgende 25 opplysningskategorier:³¹

navn
adresseopplysninger
statsborgerskap/bostedland
anropsnummer for teletjenester
fødselsnummer og annet nummer knyttet til person (rullenummer/arbeidstakernummer)
rubriseringsdata, (så som kategori, type ansatt/representant, distrikt, type varer, kontonummer i regnskap, representantkategori, andre opplysninger til bruk i statistikk og annen bedriftsintern avregning)
kjønn
nærmeste pårørende
sivilstand
antall barn og barnas fødselsår
stillingsbetegnelse
yrkesopplysninger som etter overenskomst eller tariffavtale som har betydning for lønns- og arbeidsvilkår
opplysninger om utdannelse og praksis
lønns- og provisjonsopplysninger
kontonummer
pensjonsopplysninger
trekk- og skatteopplysninger
ansettelses- og sluttdato (permisjoner e l)
sluttårsak
fraværsdato, type fravær og varighet. Angivelse av sykdommens art tillates ikke registrert utover det som er pålagt ved lov 4. februar 1977 nr 4 om arbeidervern og arbeidsmiljø mv § 20
dødsdato
firmabil e l
utlånte eiendeler
lån til ansatte eller garanti for lån
opplysning om den ansatte er mobiliseringsdisponert (ja/nei), evt militært løpenummer, grad, og rulleførende avdeling.

Datatilsynet antar at behandling av opplysninger utover dette som hovedregel vil betinge samtykke fra den enkelte arbeidstaker.

Fotnote 31) Publisert på Datatilsynets hjemmeside. http://www.datatilsynet.no

Tilsynet synes gjennom denne oppregningen å gi uttrykk for en for bastant lovforståelse. For det første kan det ikke utelukkes at tilsynets forståelse, for enkelte situasjoner, gir uttrykk for en for vid adgang til å behandle personopplysninger som nevnes i listen, se også punkt 5.4.3 om dette. Samtidig synes Datatilsynet å gi uttrykk for en unødvendig streng fortolkning, særlig i forhold til § 8 bokstav f, hvoretter en konkret interesseavveining mellom partene kan gi hjemmel for behandling av personopplysninger. Det må kunne legges til grunn at det i et arbeidsforhold vil kunne være mange opplysninger utover Datatilsynets oppregning som arbeidsgiver etter omstendighetene vil kunne ha en berettiget interesse av å behandle, og som arbeidstakernes personverninteresser ikke overstiger³²

Fotnote 32) Jf. Nina Melsom: Tidsskrift for forretningsjus nr. 4/01 - ”Ny lov om personopplysninger – noen arbeidsrettslige problemstillinger”.

For eksempel vil det kunne være nødvendig for arbeidsgiver å behandle opplysninger om inntjening, resultatoppnåelse, videreutdanning mv. for å få justert eller fastsatt lønn i samsvar med tariffavtalte vilkår. Arbeidsgivers behandlingsinteresse synes i et slikt tilfelle å være klart berettiget og behandling av opplysningene vil regulært være lite inngripende overfor arbeidstakerne.

Et annet eksempel her kan være en arbeidsgiver som mottar klager mot en av sine mellomledere om at han driver seksuell trakassering av sine kvinnelige underordnede. Arbeidsgiver vil i et slikt tilfelle ha plikt til å utrede saken og eventuelt iverksette nødvendige tiltak for å hindre fortsatt trakassering, jf. arbeidsmiljøloven §§ 12 og 14. Arbeidsgiver har et stort praktisk behov og en berettiget interesse i å legge klager og/eller referat fra personalsamtaler på den enkeltes personalmappe uten å være avhengig av samtykke. Arbeidsgiver kan også ønske å reagere med f. eks. skriftlig advarsel i sakens anledning. Selv om arbeidsmiljøloven ikke har bestemmelser om advarsler, er det ikke tvilsomt at en advarsel kan ha rettslig betydning og etter omstendighetene være av stor betydning i en etterfølgende oppsigelses- eller avskjedssak. Det er åpenbart ikke gitt at vedkommende uten videre samtykker i at en slik advarsel legges inn i personalmappen. Advarselen trenger riktignok ikke gis skriftlig eller legges i den enkeltes personalmappe for at den skal tillegges vekt i en oppsigelsessak, men arbeidsgiver har bevisbyrden for at advarsel faktisk er gitt og synes i den forbindelse å ha en klar, berettiget interesse i å lagre opplysningene. Det er vanskelig å se at personverninteressene i et slikt tilfelle overstiger arbeidsgivers ”behandlingsinteresse”. Alternativet for arbeidsgiver ville være å behandle tjenesteforsømmelsen muntlig fremfor å nedtegne en skriftlig advarsel og legge denne i den ansattes mappe i personalregisteret. Hensynet til at opplysningene som innsamles er så korrekte som mulig og hensynet til åpenhet og innsyn, kan imidlertid tale for at opplysningene føres inn i et register (eller behandles elektronisk). Lagring av opplysninger i ”eget hode” vil gjerne være mindre åpne og presise enn opplysninger som lagres manuelt i et register eller lagres elektronisk. Til en viss grad må det således kunne legges til grunn at å lagre opplysningene i et personalregister også innebærer elementer av rettssikkerhetsgarantier for den registrerte og at det må kunne tas hensyn til dette i interesseavveiningen etter § 8 bokstav f.

Arbeidsgiver synes således å ha en berettiget interesse av å lagre slike opplysninger og dette vil regulært være nødvendig for å ivareta overordnede krav til forsvarlig saksbehandling. Etter underutvalgets oppfatning må denne type opplysninger normalt kunne behandles med hjemmel i unntaksbestemmelsen i § 8 f.

I noen tilfeller er personopplysningsloven direkte avgjørende for arbeidsgivers adgang til å iverksette kontrolltiltak overfor arbeidstakerne (og setter ikke bare skranker for arbeidsgivers behandling av opplysninger som fremkommer som et resultat av kontrollen). Dette vil være tilfelle der kontrolltiltaket i seg selv innebærer ”behandling” av personopplysninger slik dette er definert i personopplysningsloven § 2 og som dessuten går inn under lovens saklige virkeområde i § 3. For eksempel vil innsamling av personopplysninger som skjer med elektroniske hjelpemidler være omfattet av loven. Arbeidsgivers adgang til å innhente personopplysninger fra e-postkasse eller datalogg er således regulert av personopplysningsloven. Tilsvarende er arbeidsgivers adgang til å iverksette fjernsynsovervåking regulert i lovens kap. VII, se også punkt 5.5.8.

Generelt synes det vanskelig å gi en klar konklusjon på spørsmålet om og i tilfelle i hvilken utstrekning personopplysningsloven innebærer en innskjerping i forhold til det tradisjonelle arbeidsrettslige utgangspunkt. Personopplysningsloven skjerper åpenbart kravene til saksbehandling, jf. bl.a kravene til informasjon, innsyn, retting osv. Mye taler ellers for at personopplysningsloven og de arbeidsrettslige reglene bør fortolkes i lys av hverandre.³³ Saklighetskravet etter personopplysningsloven § 11 kan antagelig i vidt omfang fortolkes som det arbeidsrettslige saklighetskravet³⁴ og de samme hensyn som bærer det arbeidsrettslige forholdsmessighetsprinsippet finnes igjen i bestemmelsene i personopplysningsloven, f. eks. i § 8 f). Likevel synes det klart at personopplysningsloven §§ 8 og 9 representerer stor usikkerhet på arbeidslivets område. Bestemmelsene er uklart formulert og gir arbeidsgivere og arbeidstakere liten veiledning. Lovforarbeidene er knappe og lite klargjørende. Underutvalget mener at denne uklarheten i seg selv taler for en særskilt regulering av bruk av personopplysninger i arbeidsforhold.

Fotnote 33) Sml Ruth Nielsen: ”Persondata og arbejdsgiverens ledelsesret” s 276.

Fotnote 34) Sml Jens Kristiansen: ”Arbejdsgiverens kontrol med ansatte – Danmark”, i Jonas Malmberg (red.): Låglönekonkurrens och abetstagares integritet, Rapporter til Nordiskt arbetsrättslig möte 2000, Stockholm 2000 s 109.

Generelt om behovet for ny regulering

Underutvalget er av den klare oppfatning at det er behov for ny lovregulering på området. Under hensvisning blant annet til gjennomgangen ovenfor under punkt- 7.1 – 7.3, synes det særlig å være behov for å få avklart arbeidsgivers adgang til å behandle personopplysninger i forbindelse med ulike kontrolltiltak. Ved vurderingen av behovet for ny regulering legger underutvalget dessuten betydelig vekt på den teknologiske utvikling som har medført og fortsatt vil medføre stadig større muligheter for omfattende kontroll av arbeidstakere, både hva gjelder omfang og innhold.

Regulatoriske spørsmål – plassering av regler

Innledning

Rettstilstanden når det gjelder kontroll/overvåking av arbeidstakere kjennetegnes som nevnt ved en generell lov – personopplysningsloven - som ikke er tilpasset arbeidslivet, generelle ulovfestede prinsipper som gjelder i forholdet mellom arbeidsgiver og arbeidstaker, samt en rekke særregler i forskjellige lover. Regelbildet er fragmentarisk og gir en uoversiktlig og vanskelig tilgjengelig rettstilstand. Den faktiske tilstand er preget av en teknologisk utvikling som raskt øker arbeidsgivers mulighet til å kontrollere - og samle informasjon om - arbeidstakere.

Kontrolltematikken representerer to i utgangspunktet motstridende interesser, arbeidsgivers ønske om å iverksette kontrolltiltak på den ene side og arbeidstakers personverninteresser på den andre. Vernet av den personlige integritet er en helt vital interesse som delvis er beskyttet gjennom menneskerettighetskonvensjoner. Arbeidsgivers kontrollinteresse er imidlertid ofte godt begrunnet og må etter omstendighetene kunne gå foran personverninteressene. I dette bildet er det etter underutvalgets oppfatning særlig viktig med en mest mulig klar og tilgjengelig rettstilstand som samtidig på en hensiktsmessig måte balanserer arbeidsgivers og arbeidstakeres behov. Underutvalget mener at gjennomgangen av dagens faktiske og rettslige tilstand viser at det er et behov for en særlig regulering av arbeidstakernes personvern i forbindelse med kontroll/overvåking i arbeidslivet.

Reguleringsform – lov eller tariffavtale?

Innledning

Forholdet mellom lovregulering og avtaleregulering er et hovedspørsmål for Arbeidslivslovutvalget og bør drøftes også i forhold til regulering av kontroll og overvåking i arbeidslivet. Der er særlig to spørsmål som kan reises i denne forbindelse. For det første i hvilken utstrekning personverndirektivet som sådan kan gjennomføres ved tariffavtale, dernest hvilket spillerom partene rent faktisk vil kunne ha ved regulering av kontrollbestemmelser i arbeidslivet.

Gjennomføring av personverndirektivet ved tariffavtaler

EØS-avtalen reiser spørsmål om personverndirektivets materielle regler – personvernet – kan gjennomføres i norsk rett ved tariffavtaler, dvs om (eller i hvilken utstrekning) gjennomføringen kan overlates til arbeidslivets parter og kollektive forhandlinger, eller om direktivet må gjennomføres ved lov.

Spørsmålet om gjennomføring av direktiver ved tariffavtaler diskuteres også på EU-nivå. Selv om EF-domstolen har fattet flere avgjørelser av relevans for spørsmålet, synes det likevel ikke å være avklart hvilken posisjon tariffavtalene skal ha. EF-domstolen har i flere avgjørelser vurdert adgangen til å gjennomføre EUs arbeidsrettslovgivning gjennom tariffavtaler. Domstolens hovedsynspunkt er at arbeidsrettslige direktiver skal sikre enhver arbeidstaker de rettigheter som følger av direktivene. Dette utelukker ikke bruk av tariffavtaler, men stiller krav om en sekundær lovgivning. ³⁵ På bakgrunn av EF-domstolens praksis er det videre hevdet at kollektive avtaler kun kan benyttes som eneste implementeringsform i forhold til et direktiv dersom avtalen allmenngjøres. I motsatt fall må medlemsstaten i tillegg foreta lovregulering som sikrer at rettighetene etter direktivet kan håndheves av personer som ikke er omfattet av aktuelle tariffavtaler.³⁶ En eventuell implementering av personverndirektivet i norsk rett utelukkende gjennom tariffavtale ville i henhold til dette fordre at de aktuelle tariffavtaler ble gjort allmenngyldige i medhold av lov av 4. juni 1993 nr. 58 om allmenngjøring av tariffavtaler.

Fotnote 35) Jens Kristiansen: ”Arbejdsretlig lærebog”, København 1999 s 130.

Fotnote 36) Ruth Nielsen: ”European Labour Law”, 2000 s 137 flg.

Selv om den nasjonale skjønnsmarginen muligens utvides på enkelte punkter, er det neppe grunn til å anta at det økende gjennomslaget av kollektive forhandlinger på EU-nivå vil medføre et radikalt brudd med domstolens praksis. Det kan for øvrig nevnes at Danmark nå har ”gitt seg” på sitt standpunkt overfor Kommisjonen om gjennomføring av arbeidstidsdirektivet gjennom tariffavtaler.

I personverndirektivets fortale vises det til at formålet med direktivet er ensartet lovgivning i statene. Lovgivningens målsetting er å sikre overholdelsen av privatlivets fred slik denne grunnleggende rettigheten er fastslått i EMK artikkel 8. Samtidig vises det til at direktivet gir statene et spillerom som næringslivet og arbeidslivets parter kan benytte seg av ved gjennomføring av direktivet. Staten vil kunne fastsette generelle vilkår for lovlig behandling av personopplysninger i lovgivningen (punkt 8 – 10).

Ordlyden i de enkelte artiklene i direktivet peker for øvrig i retning av et krav om regulering ved lov. Staten skal presisere vilkårene for behandling av personopplysninger (artikkel 5). Staten skal fastsette bestemmelser vedrørende prinsipper for opplysningenes kvalitet og om grunnlaget for å behandle opplysninger (artikkel 6 og 7). Videre skal staten som forby behandling av sensitive opplysninger. Det kan imidlertid gjøres unntak fra forbudet blant annet hvis det foreligger samtykke fra den registrerte (artikkel 8).

At det må antas at personverndirektivet som sådan neppe kan gjennomføres ved tariffavtale, betyr imidlertid ikke at tariffavtaler vil være uaktuelle som instrument ved regulering av kontrollbestemmelser på dette feltet.

Regulering av kontrollbestemmelser ved tariffavtale – partenes spillerom

Tariffavtaler som regulerer arbeidsgivers adgang til å iverksette kontrolltiltak har hatt stor betydning i praksis. Tilleggsavtale V til Hovedavtalen mellom LO og NHO er eksempel på en slik avtale, se punkt 5.3.3.

Et forhold som taler for regulering ved tariffavtale er at dette gjerne innebærer bestemmelser som er særlig tilpasset den enkelte bransje eller virksomhet. Slik regulering vil dessuten bringe spørsmålene som reguleres nærmere de som direkte blir berørt. Et viktig motargument er at mange ansatte og virksomheter ikke er organiserte, noe som enten skaper ulikheter eller ”overstyring” fra de organiserte. Ved å gjøre integritetsvernet til gjenstand for forhandlinger mellom partene, er det dessuten en mulighet for at det blir ”byttet” mot andre goder som jobbsikkerhet, lønn, osv.

Personverndirektivet, som er gjennomført i norsk rett ved personopplysningsloven, innebærer en minimumsbeskyttelse når det gjelder behandling av personopplysninger som ikke kan fravikes ved avtale. I den grad den aktuelle reguleringen ligger innenfor direktivets rammer, må det således antas å være lite spillerom for avvikende tariffavtaler. I den svenske lovutredningen påpekes det at det er svært vanskelig å angi presist hvor stort dette spillerommet faktisk er og at det av den grunn ikke er hensiktsmessig å overlate slike overveielser til tariffavtaleparter eller andre avtaleparter.³⁷ Det konkluderes med at både prinsipielle og praktiske hensyn taler for at den foreslåtte særloven om beskyttelse av personlig integritet i arbeidslivet ikke positivt skal kunne fravikes ved avtale. I den svenske lovutredningen understrekes det imidlertid at det fremstår som ønskelig at partene gjennom tariffavtale presiserer loven, f. eks. ved å presisere hvordan loven skal tillempes av hensyn til forholdene innen ulike bransjer eller lokale forhold på ulike arbeidsplasser. Lovutredningen synes på denne måten å forutsette at sentrale og lokale tariffavtaler vil få stor praktisk betydning når det gjelder å fastlegge lovens praktiske innhold.

Fotnote 37) SOU 2002:18 s. 239.

Underutvalget er enig i at det i utgangspunktet både er ønskelig og rettslig uproblematisk med slike presiserende tariffavtaler. Som eksempel på hva en slik presiserende regulering kan dreie seg om, kan det vises til § 5 i det svenske forslaget. Bestemmelsen fastsetter i utgangpunktet et forbud mot behandling av personopplysninger om arbeidstakeres helse og rusmiddelbruk. Unntak kan imidlertid gjøres om behandlingen er ”nødvendig” for å bedømme om arbeidstakeren er skikket for å utføre arbeidsoppgaver i arbeidsgivers virksomhet. Her kan en tenke seg at parter innenfor de forskjellige bransjer/virksomheter nærmere definerer i hvilke tilfeller det vil være ”nødvendig” med behandling av slike opplysninger innenfor sin bransje/virksomhet. Som nevnt ovenfor har Tilleggsavtale V til Hovedavtalen mellom LO og NHO og andre likeartede avtaler mellom partene i arbeidslivet hatt stor praktisk betydning når det gjelder kontroll/overvåking. Ved å utforme en eventuell særregulering slik at den ”inviterer” til presiserende tariffavtaler, vil avtalenes betydning kunne bli enda mer fremtredende.

Underutvalget ønsker imidlertid å påpeke at det også kan være et handlingsrom innenfor bestemmelsene i personopplysningsloven. Det vises i denne forbindelse til personopplysningsloven § 8 bokstav b hvoretter det er tillatt å behandle personopplysninger når det er ”nødvendig for å oppfylle en rettslig forpliktelse”, og § 9 bokstav f som hjemler behandling av sensitive personopplysninger når ”behandlingen er nødvendig for at den behandlingsansvarlige kan gjennomføre sine arbeidsrettslige plikter eller rettigheter.” (Det forutsettes her som ellers at grunnkravene i § 11, som kravet til saklig formål, er oppfylt).

Det er åpenbart at det gjennom tariffavtale (eller annen avtale) kan etableres ”en rettslig forpliktelse” eller ”arbeidsrettslige plikter og rettigheter”. Det kan således være grunn til å reise spørsmål om en tariffavtale om behandling av personopplysninger i forbindelse med kontrolltiltak vil kunne gå inn under bestemmelsene og sådan danne et selvstendig grunnlag for behandling av personopplysninger. I lovforarbeidene til personopplysningsloven forutsettes det klart at det finnes et slikt grunnlag. I lovproposisjonens kommentarer til § 9 bokstav f³⁸, blir det således uttalt at ”uttrykket arbeidsrettslige plikter eller rettigheter omfatter alle plikter og rettigheter som hviler på et arbeidsrettslig grunnlag, uansett om grunnlaget er lovgivning, avtale mellom partene i arbeidslivet eller individuelle arbeidsavtaler. Har for eksempel arbeidsgiveren påtatt seg å kreve inn medlemskontingenten for en arbeidstakerorganisasjon, kan arbeidsgiveren behandle opplysninger om fagforeningstilhørighet i den grad dette er nødvendig for å oppfylle innkrevningsplikten”.

Fotnote 38) Ot.prp. nr. 92 (1998-99) s. 110 og 111.

Selv om lovforarbeidene på denne måten nokså vilkårsløst gir uttrykk for at personopplysningsloven gir adgang til behandling av arbeidstakeropplysninger på grunnlag av bestemmelser i tariffavtale, setter loven samtidig klare begrensninger i rekkevidden for avtaleadgangen, ved at den stiller krav om at behandlingen må være ”nødvendig”. Nødvendighetskriteriet skal i prinsippet vurderes konkret i forhold til den enkelte situasjon, men vil i praksis sannsynligvis bli tolket relativt strengt i forhold til i hvilken utstrekning bestemmelser i tariffavtale skal kunne gi grunnlag for behandling av personopplysninger.

Alternative skisser for plassering av bestemmelser

Innledning

Som det fremgår under punkt 7.4 og 8.1, mener underutvalget at det er behov for en særskilt lovregulering av kontroll og overvåking i arbeidslivet, i alle fall hva gjelder adgangen til å behandle opplysninger om arbeidstakerne i forbindelse med kontrolltiltak. Dersom Arbeidslivslovutvalget ønsker å foreslå en slik særskilt regulering, må det tas stilling til hvor de nye reglene mest hensiktsmessig kan plasseres. I det følgende drøftes fire alternative modeller for plassering av særlige lovbestemmelser om kontrolltiltak i arbeidslivet.

Plassering av bestemmelser i arbeidsmiljøloven (ny arbeidslivslov)

Regulering i arbeidsmiljøloven kan praktisk tenkes gjennomført på flere måter:

i enkeltbestemmelser spredt i loven
i et eget kapittel i loven
i forskrift til loven

Mange av de aktuelle kontrollspørsmålene er nært knyttet opp til andre spørsmål som reguleres i arbeidsmiljøloven. Eksempler er bestemmelsen i aml § 12 nr. 3 om styringssystemer, arbeidsgivers generelle plikt til å overvåke arbeidsmiljøet og spesielle plikt til i noen tilfeller å foreta helsekontroll (§ 14 andre ledd bokstav b og c) og reglene i § 55 A som setter grenser for hvilke opplysninger som kan etterspørres/vektlegges under en ansettelsesprosedyre. Generelt vil dessuten kontrolltiltak kunne ha en arbeidsmiljømessig konsekvens, f. eks. at kameraovervåking oppleves som en psykisk belastning. Regulering i arbeidsmiljøloven kan således skape god sammenheng mellom reglene og gjøre det enkelt for partene i arbeidslivet å finne frem til bestemmelsene.

Dersom man velger arbeidsmiljøloven som arena for nye regler for kontroll, vil det være nærliggende at Arbeidstilsynet får en tilsynsrolle også i forhold til behandling av personopplysninger om arbeidstakere. Underutvalget mener at det er ønskelig at Arbeidstilsynet får en sterkere rolle i denne sammenheng, blant annet grunnet den nære sammenhengen mellom personopplysningsvernet (på dette området) og arbeidstakerervernet ellers. Det er ønskelig at tilsynsmyndigheten har god arbeidslivsinnsikt generelt og god arbeidsrettslig innsikt spesielt. Datatilsynet fører generelt tilsyn etter personopplysningsloven som gjelder på alle samfunnsområder. Det kan vel hevdes at Datatilsynets forvaltning av personregisterloven og personopplysningsloven har vist at organets brede fokus til dels har ”gått på bekostning av” å besvare de særlige utfordringer som ligger i behandling av personopplysninger i arbeidsforhold. Det kan for så vidt vises til den parallelle problemstilling vedr. forholdet mellom personopplysningsvern og helsevern hvor Helsetilsynet, i tillegg til Datatilsynet har en tilsynsrolle.

Som argument mot regulering i arbeidsmiljøloven kan det anføres at man derved ”låses” til denne lovens virkeområde. Det er ikke gitt at arbeidsmiljølovens virkeområde er overensstemmende med en optimal angivelse av kontrollreguleringen. Eksempelvis kan det tenkes at slik regulering bør omfatte visse oppdragsforhold som i dag faller utenfor arbeidsmiljølovens virkeområde, f. eks. lastebileieren som arbeider fast for 1 - 3 oppdragsgivere. Underutvalget er for øvrig bedt om å begrense sitt arbeid til forholdet mellom arbeidsgiver og arbeidstaker og tar således ikke stilling til i hvilken utstrekning kontrollregler bør omfatte grupper med annen rettslig status. Dersom bestemmelser om kontroll av arbeidstakere blir tatt inn i arbeidsmiljøloven (eller ny arbeidslivslov), vil den dessuten nødvendigvis bli mer kompleks. Underutvalget antar at disse forhold etter omstendighetene kan tale mot plassering av bestemmelser i arbeidsmiljøloven.

Når det gjelder forholdet mellom lov- og/eller forskriftsregulering, vises det til særskilt drøftelse nedenfor under punkt 8.3.6.

Plassering av bestemmelser i personopplysningsloven

Det kan argumenteres for å plassere kontrollbestemmelser i personopplysningsloven. Også her kan en tenke seg regulering:

i enkeltbestemmelser spredt i loven
i et eget kapittel i loven
i forskrift til loven

I den utstrekning nye bestemmelser gjelder behandling av arbeidstakeropplysninger, vil de systematisk passe godt inn i personopplysningsloven. Det kan dessuten være hensiktsmessig at behandling av arbeidstakeropplysninger derved gjør bruk av de samme legaldefinisjoner og systematikk som personopplysningsloven. Selv om personopplysningsloven i prinsippet er en generell lov, er det gjort noen unntak fra dette. Loven har et særlig kapittel om fjernsynsovervåking og personopplysningsforskriften har særlige bestemmelser om kredittopplysningsvirksomhet mv. Personopplysningsloven/-forskriften kan for så vidt tenkes utbygd med bestemmelser/kapitler innen ytterligere problemområder som behandling av arbeidstakeropplysninger.

Spørsmål som omhandler arbeidsgivers rett til å iverksette kontrolltiltak og ansattes motsvarende plikt til å underkaste seg tiltakene, er i utgangspunktet ikke egnet for regulering i personopplysningsloven. Slike regler er prinsipielt sett ikke personopplysningsregulering og vil derfor bryte med lovens grunnleggende systematikk. Personopplysningsloven regulerer i dag ikke adgang til å iverksette kontrolltiltak. Mot regulering i personopplysningsloven kan det dessuten innvendes at så vidt mange problemområder er aktuell for særregulering, at det ikke er praktisk mulig å samle vesentlige deler av dette i personopplysningsloven. Det er i dag minst 70 lover og forskrifter med enkeltbestemmelser om behandling av personopplysninger. I tillegg finnes det flere rene registerlover, dvs lover som primært regulerer behandling av personopplysninger. Helseregisterloven, folkeregisterloven og strafferegisterloven er eksempler på slike lover. Særregulering bør derfor i all hovedsak skje utenfor personopplysningsloven og det må anføres særlig sterke argumenter for å regulere ytterligere særområder, som behandling av arbeidstakeropplysninger, i personopplysningsloven. Plassering i personopplysningsloven vil dessuten gjøre det vanskeligere å få frem sammenhengen mellom personopplysningsvernet og andre sider ved det tradisjonelle personvernet.

Kombinerte løsninger

Det er også tenkelig med kombinerte løsninger, f. eks med bestemmelser i både arbeidsmiljøloven, personopplysningsloven og eventuelt i andre lover som straffeloven, helsepersonelloven, bioteknologiloven osv. Det kan således tenkes at bestemmelser om behandling av arbeidstakeropplysninger plasseres i personopplysningsloven, regler som isolert gjelder den arbeidsrettslige adgang til å iverksette kontrolltiltak plasseres i arbeidsmiljøloven, mens bestemmelser om helseopplysninger bl.a. plasseres i helsepersonelloven. En slik løsning gir mulighet for systematisk presise plasseringer av de ulike bestemmelsene. Den innebærer også stor grad av fleksibilitet i forhold til fremtidige lovendringer og vil kunne gi god sammenheng med annen, beslektet lovgivning.

En kombinert løsning vil imidlertid også bety en fragmentering av reguleringen som vil gjøre det vanskeligere å ha oversikt over gjeldende rett når det gjelder kontroll i arbeidslivet. Hver enkelt bestemmelse må dessuten tilpasses de lover bestemmelsene blir en del av, noe som gjør det vanskelig å legge til grunn en samlet systematikk og begrepsbruk.

Plassering av bestemmelser i egen lov

Et fjerde alternativ vil være å vedta kontrollbestemmelser i en egen lov. Andre nordiske land har valgt denne løsningen. En slik løsning gir en tydelig regulering og innebærer den høyeste profileringen av kontrollspørsmålene. En særlov gir også frihet til å velge et hensiktsmessig virkeområde, ”skreddersydd” systematikk og begrepsutvikling mv. Ved å benytte en egen lov legges det til rette for å tydeliggjøre sammenhengen mellom personopplysningsvern og annet personvern, samtidig som en unngår å definere reguleringen som enten arbeidsrettslig eller personvernrettslig. En egen lov kan ha en generell del, og i tillegg kapitler som regulerer særlige områder som forholdet til offentlige myndigheter, helse, forholdet til avtaleverket osv. Loven kan med andre ord bygges gradvis ut avhengig av behov. Rent lovteknisk antas løsningen å være minst arbeidskrevende, også fordi det letter muligheten for å innpasse Breistein-utvalgets innstilling.

Det kan innvendes mot regulering i egen lov at en derved ikke får tydeliggjort de saklige sammenhengene mellom arbeidsmiljø- og personvernrett på samme måte som ved å plassere nye bestemmelser i arbeidsmiljøloven. I den grad en gjør bruk av begreper og bestemmelser som er identiske eller har sterke likhetstrekk med annen lovgivning, oppstår det rettskildemessige spørsmål som må klargjøres i lov eller lovforarbeider. Det kan i denne sammenheng vises til helseregisterlovens til dels uklare forhold til personopplysningsloven.

Det kan vel også tale mot å vedta en særlov at lovtilfanget økes, i den forstand at det innebærer ”ytterligere en lov”. Mot dette må det imidlertid påpekes at spørsmålet om regelkompleksitet naturligvis ikke kan forenkles til kun et spørsmål om regelmengde og antall lover.

Særlig om regulering i lov og eller forskrift

Spørsmålet om bestemmelser skal reguleres i lov eller forskrift, avhenger i stor grad av hvilket av de foreliggende hovedalternativene som eventuelt blir valgt. Regulering i arbeidsmiljøloven eller i personopplysningsloven gjør forskriftsregulering mest aktuelt, dvs at det gjør det mer sannsynlig at nye bestemmelser bør plasseres i forskrift. Kombinert løsning eller regulering i egen lov gjør forskriftsregulering mindre aktuelt. Dersom en velger en egen lov, kan det imidlertid på sikt blir ansett behov for forskriftsregulering. En egen lov kan hevdes å invitere til/legge til rette for en mer omfattende og/eller detaljert regulering etter hvert som f. eks. den teknologiske eller medisinske utvikling gjør dette ønskelig.

Spørsmålet om forskriftsregulering kan være et moment ved valg mellom reguleringsalternativene. Underutvalget antar likevel at dette ikke er avgjørende i forhold til å skissere, og ta stilling til, mulige materielle løsningsmodeller. Arbeidslivslovutvalget kan således tilpasse lov-/forskriftsstruktur i henhold de prinsipper som lovutvalget ellers legger opp til.

Underutvalgets anbefaling mht plassering av bestemmelser om kontroll

Underutvalget mener at regulering i arbeidsmiljøloven eller i en egen lov fremstår som de to klart mest attraktive løsningene. Plassering av bestemmelser i personopplysningsloven eller en kombinert løsning med plassering i flere lover vil etter underutvalgets oppfatning ikke i tilstrekkelig grad bøte på hovedproblemet ved dagens rettstilstand; at den er fragmentarisk, uoversiktlig og utilgjengelig.

Når det gjelder hva som er mest hensiktsmessig av regulering i arbeidsmiljøloven og i en egen lov, er underutvalget mer usikker. Særlig den nære sammenhengen mellom kontrollspørsmålene og andre spørsmål som reguleres i arbeidsmiljøloven, taler for at kontrollbestemmelser plasseres i denne. Samtidig synes det klart at regulering i egen lov gir størst frihet mht. å rendyrke en mest mulig hensiktsmessig regulering av aktuelle kontrollspørsmål. I denne sammenheng er det verdt å merke seg at Finland har valgt å regulere disse spørsmålene i egen lov og at Sverige, etter en omfattende lovutredning, nå har foreslått det samme.

Skisse til lovstruktur – alternative løsninger

Innledning

En særskilt regulering av kontrollspørsmål i arbeidslivet kan gjøres svært omfattende eller meget enkel. Kompleksiteten vil avhenge av om og i hvilken utstrekning man velger å regulere alle de hovedspørsmål som er særlig aktuelle for lovregulering. Følgende hovedspørsmål kan tenkes å være omfattet av reguleringen:

selve adgangen til å iverksette kontrolltiltak
krav til saksbehandlingen (f. eks drøftelsesplikt, krav til informasjon)
generelle regler om behandling av personopplysninger i arbeidslivet
særregler ved behandling av personopplysninger som er særlig inngripende (som helseopplysninger, e-post osv, listen kan være omfattende eller kort).
adgang til avtaleregulering
tvisteløsning/tilsyn

Hvert hovedspørsmål kan behandles mer eller mindre omfattende eller kan utelates helt. Det er eksempelvis tenkelig å la være å regulere adgangen til å iverksette kontrolltiltak. I tilfelle vil rettstilstanden opprettholdes når det gjelder selve retten til å kontrollere/plikten til å la seg kontrollere, dvs at de ulovfestede arbeidsrettslige prinsippene med sine innebygde personvernnormer forblir gjeldende med mindre særskilt lovgivning spesifikt behandler kontrolladgangen (som nevnt innebærer imidlertid den nære sammenhengen mellom kontrolladgang og behandling av personopplysninger at en begrensning av behandlingsadgangen i praksis også vil sette grenser for kontrolladgangen.).

Motsatt er det tenkelig å kodifisere (eller utvikle) de ulovfestede arbeidsrettslige prinsippene og ikke gi generelle regler om behandling av arbeidstakeropplysninger. I tilfelle vil behandling av personopplysninger i arbeidslivet fortsatt skje etter bestemmelsene i personopplysningsloven. I begge disse variantene kan det gis (eller ikke gis) særregler om behandling av særskilte typer opplysninger, osv.

I det følgende skisseres tre alternative løsninger med varierende kompleksitet og innretning. Flere varianter kan naturligvis tenkes.

Skisse til lovstruktur I

Kontrolltiltak i arbeidslivet

Kodifisering av det arbeidsrettslige utgangspunkt
Saklig begrunnelse (angivelse av sentrale formål)
Proporsjonalitet

-
-

Krav til saksbehandlingen

Drøftelsesplikt om behov, formål, omfang og gjennomføring
Informasjon om art. innretninger, gjennomføring og varighet

-
-

Regler om integritetsvern ved behandling av personopplysninger i arbeidslivet

Virkeområde (behandling av personopplysninger om arbeidssøkere og arbeidstakere)
Grunnkrav (f. eks relevanskrav/generelle vilkår

-
-
-
-

Særregler (evt. med kvalifiserte vilkår for behandlingsadgang)

Helseopplysninger
E-post og Internett
Personlighetstester
Evt. andre forhold

Tariffavtale, arbeidsreglement og annen avtale

Kan rett til å behandle personopplysninger om ansatte forankres i tariffavtale eller annen avtale.

Tvisteløsning/tilsyn (evt. med krav om internkontroll og personvernombud

Den første strukturskissen er den mest omfattende og regulerer både adgang til kontroll og saksbehandlingskrav i den forbindelse, vilkår for behandling av arbeidstakeropplysninger, særregler for særlig inngripende tiltak, regler som klargjør tariffavtalens (og andre avtalers stilling), samt regler om tvisteløsning/tilsyn.

Det første regelsettet, ”kontrolltiltak i arbeidslivet” med tilhørende saksbehandlingsregler vil gjelde alle kontrolltiltak overfor arbeidstakere eller arbeidssøkere (personkontroll i vid forstand) uavhengig av om kontrollen impliserer behandling av personopplysninger i personopplysningslovens forstand. Det er i den forbindelse nærliggende at reglene kodifiserer gjeldende ulovfestede arbeidsrettslige regler om adgangen til kontrolltiltak i arbeidslivet og gjeldende regler i Tilleggsavtale V til Hovedavtalen mellom LO og NHO og YS og NHO og andre tilsvarende avtaler. Prinsippet i tariffavtalene er at kontrolltiltak i utgangspunktet er tillatt dersom de er nødvendige for å ivareta et saklig formål.

En kodifisering av det arbeidsrettslige utgangspunkt kan tenkes gjort etter mønster av arbeidsmiljøloven § 60. I aml § 60 knyttes vilkåret for rettmessig oppsigelse til en rettslig standard; oppsigelsen må ha (tilstrekkelig) saklig grunn. Tilsvarende kan kontrolladgangen knyttes til et krav om at tiltaket må være saklig begrunnet og at det må være forholdsmessig i forhold til angitte formål med kontrollen, se ellers korte redegjørelser for disse begrepene i punkt 10.4.3 og 10.4.4.

Når det gjelder bestemmelser om ”krav til saksbehandlingen”, kan disse gjennomføres ved å ”kodifisere” saksbehandlingsprinsippene i aktuelle tariffavtaler, f.eks etter mønster av tilsvarende bestemmelser i Tilleggsavtale V til Hovedavtalen mellom LO og NHO. Det gis her bl.a regler om drøftelsesplikt i forhold til behov, formål, omfang og gjennomføring av kontrolltiltak samt regler som skal sikre de ansatte tilstrekkelig informasjon om kontrolltiltak som skal iverksettes i bedriftene.

Når kontrollen innebærer behandling av personopplysninger kan det være behov for regler som på en rimelig måte ivaretar virksomhetenes behov for kontroll og behandling av personopplysninger i forbindelse med kontrolltiltak på den ene side og hensynet til arbeidstakernes integritetsvern på den annen side. Bestemmelsene må samtidig være klargjørende i forhold til tilsvarende generelle regler i personopplysningsloven, se f. eks. ovenfor under punkt 7.3 og 7.4. Virkeområdet for bestemmelsene må angis (behandling av arbeidstaker-/arbeidssøkeropplysninger) og det kan angis generelle vilkår for behandling av slike opplysninger, f. eks. krav om relevans, se punkt 10.6.2. Vilkårene i dette andre settet av regler vil gjelde i tillegg til reglene i det første. Reglene om behandling av personopplysninger om arbeidstakere vil som særregulering ha forrang i forhold til personopplysningslovens regler på arbeidslivets område, dvs. i forholdet mellom arbeidsgiver og arbeidstaker.

Foruten disse generelle reglene om behandling av arbeidstakeropplysninger, vil det kunne være behov for særregler når det gjelder enkelte særlig inngripende tiltak. Behovet for slike særregler drøftes spesielt i punkt 10.7. I forbindelse med slike særregler vil det være aktuelt å fastsette særlig kvalifiserte vilkår, f. eks. nødvendighetskrav, se også punkt 10.6.3

Det kan tenkes å være hensiktsmessig å klargjøre tariffavtalens og andre avtalers stilling på dette området, det vises for så vidt til gjennomgangen av partenes spillerom ovenfor under punkt 8.2.3.

Avslutningsvis har skissen regler om tvisteløsning/tilsyn, se pkt 11.2.2 flg. Disse reglene kan eventuelt suppleres av regler om internkontroll (punkt 11.1.10) og/eller en ordning med personvernombud (punkt 11.2.4).

Skisse til lovstruktur II

-
-
-

Kontrolltiltak i arbeidslivet

Kodifisering av de arbeidsrettslige prinsipper mht. rett og plikt
Saklig begrunnelse (angivelse av sentrale formål)
Proporsjonalitet og varighet

-
-

. Krav til saksbehandlingen

Drøftelsesplikt om behov, formål, omfang om gjennomføring
Informasjon om art, innretninger, gjennomføring og varighet

-
-
-
-
-

. Vilkår for behandling av personopplysninger av arbeidstakere

Virkeområde (forholdet til personopplysningsloven, særlig §§ 8 a og f, 9 f og 11)
Relevans og nødvendighet
Kilde (primært den ansatte selv)
Informasjon om behandlingen
Begrenset til det opplyste formål/sletting

Tvisteløsning/tilsyn

Modellen er enklere idet den kun er basert på en kodifisering av gjeldende arbeidsrettslige prinsipper med hensyn til arbeidsgivers rett til å iverksette kontrolltiltak (og arbeidstakernes motsvarende plikt til å finne seg i kontroll), supplert med saksbehandlingsregler etter mønster av Tilleggsavtale V til Hovedavtalen mellom LO – NHO, samt en generell bestemmelse om arbeidsgivers rett til å behandle personopplysninger, uavhengig av om disse stammer fra kontrolltiltak. Bestemmelsen om vilkår for behandling av personopplysninger vil da også være hjemmel for nødvendig behandling i forbindelse med ivaretakelsen av ordinære personaladministrative funksjoner (lønn, lønnsregulering, ferie, sykefravær og annet fravær, tilpasning og tilrettelegging av arbeidsmiljø, disiplinære forhold osv). Reglene kan suppleres med bestemmelser om informasjon, at opplysninger primært skal innhentes hos den ansatte selv, sletting når formålet er inntrådt, tvisteløsning osv., eller man kan velge at disse spørsmål fortsatt skal være regulert gjennom de generelle bestemmelsene i personopplysningsloven.

Skisse til lovstruktur III

-
-
-

. Vilkår for behandling av personopplysninger av arbeidstakere

Virkeområde
Relevans og nødvendighet
Særregler om helseopplysninger, e-post, logging, personlighetstester m.m (herunder evt. også vilkår for rettmessig kontroll)

-
-
-

Saksbehandling og tariffavtaler

Kilde
Informasjon om behandlingen
Begrenset til opplyste formål/sletting

Tvisteløsning og tilsyn

Skissen omfatter kun vilkår for behandling av personopplysninger om arbeidstakere og regulerer således ikke arbeidsgivers rett til å iverksette kontrolltiltak (og arbeidstakernes motsvarende arbeidsrettslige plikt til å medvirke til/finne seg i kontroll). Skissen følger for så vidt samme systematikk som den finske loven om integritetsvern i arbeidslivet og det svenske lovforslaget. Verken den finske loven eller det svenske lovforslaget regulerer spørsmålet om når kontrolltiltak generelt er rettmessige. På enkelte områder, for eksempel når det gjelder kontroll av e-post og personlighetstester, angis imidlertid også vilkårene for at slike kontrolltiltak kan iverksettes rettmessig av arbeidsgiver.

Skissen opprettholder rettstilstanden hva gjelder rett- og pliktspørsmålet med hensyn til selve kontrolltiltaket, dvs. at de ulovfestede arbeidsrettslige prinsipper vil gjelde der hvor det ikke foreligger lovgivning som løser spørsmålet om kontrolltiltaket i seg selv er rettmessig. Videre kan man fortsatt la det være opp til partene å avgjøre hvilke krav til saksbehandlingen osv. som skal stilles i forbindelse med kontrolltiltak i bedriftene, slik det f. eks er gjort i Tilleggsavtale V til Hovedavtalen mellom LO og NHO og mellom YS og NHO og i Tilleggsavtale XI i hovedavtalen mellom HSH og LO. Det følger av disse avtalene at kontrolltiltak i utgangspunktet er tillatt dersom de er nødvendige for å ivareta et saklig formål. Avtalene gir en del eksempler på det vide spekter av formål som i utgangspunktet vil gi saklig grunnlag for kontroll. Deretter stiller avtalene krav til saksbehandlingen med hensyn til drøftelser og informasjon. For kontrolltiltak som innebærer behandling av personopplysninger – og det er vel de fleste – fastsetter tilleggsavtalene at personopplysningslovens regler gjelder.

Skissen legger opp til at rettstilstanden forblir uendret med unntak av det sistnevnte, slik at det bare fastsettes nye regler om behandling av personopplysninger i arbeidsforhold supplert med særregler for spesielle områder hvor det eventuelt også kan være hensiktsmessig å regulere grunnspørsmålet om rettmessigheten av selve kontrollen.

Vurdering av lovstrukturskissene

Den prinsipielt viktigste forskjellen mellom skissene er at skisse III ikke regulerer arbeidsgivers adgang til å kontrollere sine ansatte. Både skisse I og II regulerer grunnspørsmålet om selve adgangen til å iverksette kontrolltiltak gjennom en kodifisering av gjeldende arbeidsrettslige prinsipper, dvs. en lovfesting av saklighetskravet og proporsjonalitetsprinsippet. En slik kodifisering av gjeldende ulovfestede regler innebærer ingen endring i rettstilstanden, men kan motiveres av opplysnings- og tilgjengelighetshensyn. Det er grunn til å tro at de domstolskapte reglene ikke uten videre er godt kjent blant alminnelige arbeidsgivere og arbeidstakere, særlig må dette antas å være tilfelle i arbeidsforhold som ikke er omfattet av tariffavtaler som regulerer spørsmålene. En lovfesting av prinsippene innebærer dessuten en høyere profilering og derved også (sannsynligvis) høyere oppmerksomhet omkring spørsmålet om arbeidsgivers adgang til å kontrollere sine ansatte.

Skisse III omfatter i utgangspunktet bare regler om behandling av arbeidstakeropplysninger. Flere grunner kan tale for å la være å regulere selve kontrolladgangen.

Det kan for det første hevdes at dagens ulovfestede regler i seg selv innebærer en hensiktsmessig reguleringsmåte som fungerer godt i praksis. Dertil kommer et praktisk hensyn; det finnes utallige tenkelige kontrolltiltak og kontrollformer og det synes nærmest uoverkommelig å angi en regulering som på en hensiktsmessig måte omfatter alle former for tiltak. Problemstillingen kan illustreres ved å vise til den svenske lovutredningen som inngående undersøker muligheten for å regulere vilkårene for rusmiddeltesting og helsekontroll. ³⁹ Lovutredningen vurderer ulike lovtekniske løsninger, men konkluderer med at den ikke finner det mulig å foreslå en slik lovregulering. Et av alternativene som undersøkes – og forkastes – er å fastsette en hovedregel om forbud mot ”påtvingade kroppsliga inngrepp”. Lovutrederne mener at en slik regel i tilfelle måtte forsynes med en rekke unntak fra hovedregelen hvor arbeidsgiver kan ha en berettiget interesse av å gjennomføre undersøkelser og tester motivert ut fra ulike særskilt begrensede sikkerhetsgrunner. Det gis utrykke for tvil om en slik bestemmelse rent praktisk vil kunne avspeile alle de berettigede behov arbeidsgiver kan ha for å gjennomføre helseundersøkelser og rusmiddeltester. Lovutredningen begrenser seg således til å foreslå bestemmelser som forutsetter at det finnes en viss adgang til å gjennomføre rusmiddeltester og helsekontroll, ved å gi regler for hvordan slike tester skal gjennomføres (§§ 6 og 7). I tillegg gis regler om behandling av opplysninger om arbeidstakeres helse eller rusmiddelbruk. I utgangspunktet skal det være forbud mot behandling av slike opplysninger, med unntak bl.a for behandling som er nødvendig for å vurdere om arbeidstaker er i stand til å utføre aktuelle arbeidsoppgaver (§ 5). Det er i denne sammenheng verdt å legge merke til at en slik bestemmelse, selv om den direkte bare regulerer behandling av helse- og rusmiddelopplysninger, i praksis også vil være bestemmende for når testing og kontroll lovlig kan gjennomføres. Virkeområdet for det svenske lovforslaget er all behandling av personopplysninger som er dokumentert i en eller annen form og er således ikke betinget av elektronisk behandling eller at opplysningene inngår/skal inngå i et manuelt register, jf. området for personopplysningsloven. Det er vel derved bare behandling av rent muntlige opplysninger som faller utenfor lovens ramme. Samtidig er det vanskelig å tenke seg en rusmiddeltest eller helsekontroll som ikke, i lovens forstand, forutsetter behandling av opplysninger som fremkommer gjennom testen eller kontrollen. Å gjennomføre en kontroll hvor man er avskåret fra å benytte resultatene som fremkommer ved kontrollen vil, foruten å fremstå som meningsløs, måtte være ulovlig ettersom den neppe kan anses saklig begrunnet.

Fotnote 39) SOU 2002:18, særlig s. 189 flg.

På noen avgrensede områder kan det imidlertid være hensiktsmessig å regulere spørsmålet om rettmessigheten av kontrollen. Når det gjelder kontroll av e-post og personlighetstester angir eksempelvis både den finske loven og det svenske lovforslaget vilkårene for at slike kontrolltiltak skal kunne iverksettes rettmessig av arbeidsgiver.

En generell regulering av rettmessigheten av å iverksette kontrolltiltak overfor arbeidstakere bør likevel også overveies ettersom en lovregulering her vil kunne synliggjøre skjønnstemaer som saklighet og forholdsmessighet, noe som vil kunne ha verdi i seg selv.

Alle skissene omfatter særregulering når det gjelder arbeidsgivers adgang til å behandle personopplysninger om sine ansatte. Som særregulering vil denne, i kraft av lex-spesialis prinsippet, gå foran tilsvarende bestemmelser i personopplysningsloven. Ettersom personopplysningsloven gjennomfører EUs personverndirektiv, må imidlertid særbestemmelsene om behandling av arbeidstakeropplysninger forutsettes å innebære en presisering av relevante bestemmelser i personopplysningsloven. Som det fremgår bl.a. under punkt 7.3, representerer personopplysningsloven en uheldig usikkerhet i forhold til behandling av personopplysninger i arbeidslivet, og en slik presiserende lovgivning må anses hensiktsmessig selv om den altså vil innebære en viss dobbeltregulering. Tilsvarende gir skissene anvisning på saksbehandlingsregler som også til dels finnes i personopplysningsloven. Dersom det først gis en særregulering av behandling av arbeidstakeropplysninger, vil imidlertid hensynet til sammenheng og tilgjengelighet også her kunne tilsi en ”dobbeltregulering”.

Materielt innhold – sentrale avveininger

Noen utgangspunkter for vurderingen av behovet for nye regler

Kontrolltiltak i arbeidslivet

Som det også fremgår under oversikten over rettstilstanden (kap. 5), representerer kontroll i arbeidslivet et meget vidt spekter av tiltak som kan være motivert ut fra en rekke forskjellige hensyn. Kontrolltiltak spenner fra den helt ”trivielle” kontroll som for eksempel registrering av oppmøtetidspunkt eller at arbeidstaker anvender påbudt verneutstyr til mer inngripende tiltak som kameraovervåking eller rusmiddelkontroll.

Formålet med å iverksette kontrolltiltak kan også være svært forskjellige, både mellom de enkelte kontrolltyper, men også innen samme kontrolltiltak. Formålet med å gjennomføre rusmiddeltesting kan for eksempelvis være alt fra det rent ”image-byggende” (fremstå med sunne verdier) til å forebygge katastrofe-lignende ulykker, f. eks. i forbindelse med passasjertransport. Rusmiddelkontroll og behandling av opplysninger som fremkommer gjennom slik kontroll er i seg selv inngripende i forhold til arbeidstakers personvern, likevel er det klart at formålet kan være av stor betydning for vurderingen av om tiltaket bør være lovlig eller ikke. Ved vurdering av behovet for nye regler om kontroll i arbeidslivet er det naturlig å ha særlig fokus på slike mer inngripende former for kontroll hvor konflikten med arbeidstakers personvern vil være mest fremtredende.

Problemstillinger

Kontrolltiltak i arbeidslivet reiser flere rettslige problemstillinger.

Misligheter som avdekkes ved kontrolltiltak kan medføre arbeidsrettslige konsekvenser for den aktuelle arbeidstakeren. Typiske konsekvenser kan være muntlig eller skriftlig advarsel, oppsigelse eller avskjed. Et eksempel kan være arbeidsgiveren som gjennom sjekk av dataloggen oppdager at en av arbeidstakerne har benyttet arbeidstiden og arbeidsgivers utstyr til ”privat” bruk av Internett og som reagerer med oppsigelse av arbeidstakeren (enten fordi arbeidstiden er benyttet til private formål eller at den aktuelle Internett-bruken anses særlig graverende).

En konflikt mellom partene må i et slikt tilfelle løses gjennom en fortolkning av arbeidsavtalen i vid forstand, dvs at det må søkes avklart i hvilken utstrekning arbeidstakers handlemåte representerer et mislighold av avtalen, samt om det konkrete misligholdet i tilfelle gir grunnlag for oppsigelse, avskjed eller andre reaksjoner etter arbeidsmiljølovens eller tjenestemannslovens regler. At arbeidsrettslige konsekvenser ved misligheter avdekket gjennom kontrolltiltak på denne måten styres av de alminnelige stillingsvernsbestemmelsene synes hensiktsmessig og det er neppe behov for særregler på dette området. Hvordan misligheter avdekkes, om dette skjer gjennom kontroll eller på annen måte, bør i prinsippet være uten betydning for hvilke stillingsvernsregler som anvendes på forholdet (Noe annet er at arbeidsgivers fremgangsmåte for å skaffe opplysningene kan ha stor betydning for sakens utfall, jf. f. eks. kjennelsen i Rt. 2001 s. 668, referert under punkt 5.3.2 (”hemmelig” videoopptak nektet ført som bevis i avskjedssak).

Også arbeidstaker som unndrar seg eller unnlater å medvirke til rettmessige kontrolltiltak kan risikere arbeidsrettslige reaksjoner. Det var f. eks. tilfellet i den svenske saken referert i AD 1991 nr. 45 hvor arbeidsgiver påla samtlige arbeidstakere å avgi urinprøve for å avsløre evt. misbruk av cannabis. To arbeidstakere som på prinsipielt grunnlag nektet å avgi prøve ble oppsagt for ordrenekt. Arbeidstakerne tapte oppsigelsessaken ettersom domstolen kom til at kontrolltiltaket i det konkrete tilfellet var hjemlet i styringsretten og at ordrenekten etter omstendighetene representerte et mislighold som ga grunnlag for oppsigelse. Det vises ellers til punkt 5.5.11 foran.

Også når misligholdet ligger i unnlatelse av å underkaste seg rettmessig kontroll, bør de arbeidsrettlige konsekvenser følge av de alminnelige stillingsvernsreglene og av arbeidsforholdets rett forøvrig. Særregler synes ikke hensiktsmessig.

En tredje viktig problemstilling er spørsmålet om når et kontrolltiltak er rettmessig, dvs. når foreligger det en rett for arbeidsgiver til å iverksette kontroll med en motsvarende plikt for arbeidstakerne til å underkaste seg kontrollen eller medvirke til gjennomføringen av denne?

Rettsgrunnlaget for arbeidsgivers adgang til å iverksette kontrolltiltak er sammensatt og fragmentarisk. Gjennom rettspraksis er det utviklet generelle arbeidsrettslige regler og prinsipper som at kontrolltiltak skal ha saklig grunn og være forholdsmessige. Det finnes til dels omfattende avtaleregulering av rettmessighetsspørsmålet, både i personlige arbeidskontrakter og i tariffavtaler som for eksempel Tilleggsavtale V til Hovedavtalen mellom LO og NHO. Det finnes også sporadisk lov- og forskriftsregulering som på avgrensede områder direkte behandler spørsmålet, samt noe lovgivning som gir føringer, f. eks. enkelte bestemmelser i arbeidsmiljøloven. Gjennomgangen av rettstilstanden i Norge, kap. 5, gir en mer detaljert oversikt over disse reglene.

De prinsippene som er utarbeidet gjennom rettspraksis, og som aktuelle tariffavtaler i vid utstrekning bygger på, synes å gi funksjonelle regler som i praksis er i stand til å ivareta avveiningene mellom arbeidsgivers kontrollinteresse og arbeidstakers personvern. Det er således neppe behov for vesentlige materielle endringer her, men andre hensyn kan tale for å kodifisere gjeldende rett på området. Hensynet til reglenes tilgjengelighet, særlig av hensyn til arbeidsgivere og arbeidstakere som ikke omfattes av relevante tariffavtaler, kan tale for en kodifisering. En kodifisering av gjeldende rett vil sannsynligvis innebære større bevissthet rundt kontrollspørsmål, noe som i seg selv kan bety en styrking av arbeidstakeres personvern. En lovfesting av disse normene vil dessuten gi anledning til eventuelt å klargjøre/presisere de domstolskapte reglene, dersom dette finnes hensiktsmessig. En kodifisering kan stille krav til saksbehandlingen (etter mønster av tilleggsavtale V og arbeidsmiljøloven § 12) og eventuelt regulere andre prosessuelle spørsmål.

Det kan også være behov for å harmonisere reglene om adgang til kontroll med reglene om adgang til å behandle personopplysninger om ansatte som fremkommer som resultat av kontrolltiltak. Selv om dette prinsipielt er to forskjellige spørsmål, er det i praksis svært nær sammenheng mellom regelsettene. Dette kan illustreres ved at dersom arbeidsgiver ikke har anledning til å anvende opplysninger som fremkommer som resultat av et kontrolltiltak, vil det i mange tilfeller heller ikke være saklig grunn til å iverksette tiltaket, som derved vil være urettmessig å gjennomføre. Formålet med mange kontrolltiltak vil nemlig ikke kunne nås med mindre det er adgang til å behandle de opplysninger som fremkommer som et resultat av kontrollen.

Det synes å være behov for ny regulering når det gjelder den fjerde hovedproblemstillingen som gjelder arbeidsgivers adgang til å behandle personopplysninger som fremkommer som resultat av et - forutsetningsvis - rettmessig kontrolltiltak. Dagens regulering av behandling av personopplysninger i personopplysningsloven er ikke tilpasset arbeidslivets særlige behov og gir partene liten praktisk veiledning. Det synes å være behov for å klargjøre rettstilstanden slik at partene gis større forutberegnelighet. Det bør være mulig å komme frem til enkle regler som partene i arbeidslivet klarer å forholde seg operativt til i praksis. I den utstrekning det er behov for å styrke arbeidstakernes personvern, bør dette lovteknisk kunne gjennomføres, samtidig som virksomhetenes behov for å behandle personopplysninger i forbindelse med kontrolltiltak kan ivaretas på en rimelig måte. Dette vil blant annet kunne gjøres ved å gradere vilkårene for behandling av opplysninger om ansatte ut fra hvilke formål og hvilken type opplysninger det er tale om. Det synes ikke å være like hensiktsmessig å anvende en slik teknikk når det gjelder det underliggende arbeidsrettslige spørsmål om rett til å iverksette og plikt til å underkaste seg kontroll. Dette spørsmålet synes i større grad å måtte bero på brede skjønnsmessige vurderinger i det konkrete tilfellet.

Det er de to sistnevnte problemstillingene som behandles i denne rapporten. Selv om det i prinsippet er tale om to klart atskilte problemstillinger, impliserer kontrolltiltak normalt også behandling av personopplysninger om de ansatte som kontrolleres. Et typisk eksempel kan være at opplysninger som fremkommer ved tidsregistrering benyttes som grunnlag for lønnsutbetaling eller som grunnlag for disiplinærforføyning dersom avtalt arbeidstid ikke overholdes. Det er likevel viktig å være oppmerksom på den nevnte sondringen når behovet for nye regler på dette området skal vurderes. Personopplysningsloven regulerer ikke direkte spørsmålet om arbeidsgivers kontrolladgang hvor kontrolltiltaket i første omgang ikke impliserer behandling av personopplysninger i lovens forstand, men har som sagt ovenfor stor indirekte betydning for arbeidsgivers adgang til å gjennomføre kontrolltiltak i bedriftene.

Hva kjennetegner kontrolltiltak i arbeidslivet

Begrepene ”kontroll” og ”overvåking” gir gjerne assosiasjoner til tiltak som gjennomføres i arbeidsgivers interesse, og som per definisjon står i konflikt til arbeidstaker(e)s interesser. I praksis vil kontrolltiltak ofte, i større eller mindre grad, være preget av interessemotsetninger mellom arbeidsgiver og arbeidstakere, dvs. motsetninger mellom bedriftens behov for kontrolltiltak på den ene side og arbeidstakernes ønske om vern av privatlivets fred og vern mot belastende overvåking på den annen side. Dette er imidlertid ikke en dekkende beskrivelse for alle de typer tiltak som dette området omfatter. I mange tilfeller vil partene ha sammenfallende interesser ut fra formålet med kontrolltiltaket, f. eks.. ved personaladministrative oppgaver som lønnskjøring og lønnsfastsettelse, bedriftsintern attføring av yrkeshemmede arbeidstakere eller ivaretakelse av sikkerhetshensyn og andre arbeidsmiljøhensyn.

Spørsmålet om regulering av kontroll og overvåking vil likevel ofte være et spørsmål om avveining av motstridende interesser. Personverninteresser og andre interesser på arbeidstakers side må ses i forhold til interessene som taler for tiltakene, dvs behovet for å sette i verk tiltak eller formålene med tiltakene. I det følgende drøftes de behov og formål som begrunner kontroll og overvåking. Disse sees så i forhold til personverninteressene og andre arbeidstakerinteresser.

Overordnede personverninteresser

Som nevnt ovenfor vil kontrolltiltak i arbeidslivet i mange tilfeller innebære en interessekonflikt mellom virksomhetens behov for kontrolltiltaket på den ene side og arbeidstakernes ønske om vern av privatlivet på den annen side. Denne interessekonflikten avdempes når kontrollen er i arbeidstakers interesse (f. eks. i forbindelse med særskilt tilrettelegging av arbeidet etter reglene i arbeidsmiljøloven § 13 eller ved de årlige lønnsjusteringer), eller skal ivareta arbeidsfellesskapets eller samfunnets interesser mht sikkerhet og miljø. Også i slike tilfeller kan imidlertid interessekonflikten gjøre seg gjeldende, typisk fordi arbeidstakeren opplever kontrolltiltaket som uakseptabelt inngripende i seg selv, uavhengig av formålet med tiltaket. Dette kan f. eks. være situasjonen ved rusmiddeltesting eller kontroll av privat e-post motivert ut fra sikkerhetshensyn. Når nye lovregler skal vurderes er det viktig å ha med seg begge aspekter. Det vil si at det i de fleste virksomheter er nødvendig med en viss kontroll av hensyn til driften og oppfyllelsen av plikter og rettigheter i arbeidsforholdet, samtidig som hensynet til de ansattes personvern tilsier at bruken av kontrolltiltak begrenses så langt som mulig og i noen tilfelle også må anses som urettmessig etter sin art, eller fordi kontrolltiltaket vil virke for inngripende i forhold til de formål det er ment å ivareta. Ved vurderingen av hvordan rettstilstanden på området bør være vil alminnelig personvernrettslig teori stå sentralt. Det er derfor hensiktsmessig kort å gjøre rede for hovedpunktene i den såkalte interesseteorien.

Interesseteorien

Personvernrettslig teori kan danne et hensiktsmessig grunnlag for å vurdere om og eventuelt hvordan rettstilstanden bør endres på arbeidslivets område. Teorier om personverninteresser ligger i stor grad bak personopplysningslovens bestemmelser. Den interesseteorien som det gjøres rede for i det følgende er en videreføring av teori som har vært grunnlag for den norske personvernpraksis- og debatt i 20 år.⁴⁰

Fotnote 40) Generelt om personverninteressene, se Dag Wiese Schartum og Lee Bygrave: Lærebok i personvern og personopplysningsrett (publ.:www.afin.uio.no/studier/grunnfag/litteratur.html)

Interesseteorien innebærer en identifisering og formulering av hvilke interesser som kan begrunner ulike krav for å beskytte den enkeltes personvern. Teorien avklarer ikke interessenes relevans i ulike situasjoner. Heller ikke sier teorien noe om hvilken vekt personverninteressene skal ha hvis de kommer i konflikt med andre interesser. Interesseteorien er en generell teori utviklet primært med sikte på forholdet mellom individ og stat.

Her nevnes personverninteressene kort og uten sikte på en uttømmende redegjørelse for de aktuelle interesser. I forhold til spørsmålet om kontroll og overvåking i arbeidsforhold knytter interesseteorien seg til innsamling og behandling av opplysninger om enkeltpersoner. Dette utgjør imidlertid bare en del av problemområdet, se nedenfor om integritetskrenkelser.

Personvern defineres i personopplysningsloven som hensynet til personlig integritet, privatlivets fred, tilstrekkelig kvalitet på opplysningene mv (§ 1). Se også NOU 1997: 19 s 21 flg og Ot prp nr. 92 (1998–99) s 19–20.

En av personverninteressene er individets interesse i å bestemme over tilgangen til opplysninger om egen person. Dette er ikke det samme som at den enkelte har interesse av å holde mest mulig for seg selv. Det er i stedet et spørsmål om egenkontroll. Personopplysningslovens vekt på det individuelle samtykke ivaretar denne interessen. Elementer her er krav om konfidensialitet ved behandlingen av opplysningene. Den som opplysningene gjelder skal være trygg på at opplysningene ikke tilflyter uvedkommende. Videre vil det være i den enkeltes interesse at behandlingen bygger på et etablert tillitsforhold mellom den som samler inn og behandler opplysningene og den som opplysningene bygger på. Et slikt tillitsforhold kan etableres for eksempel ved at tiltakene settes i verk på grunnlag av samarbeid eller forhandlinger med arbeidstaker eller representanter for arbeidstakerne. Et annet aspekt er ønsket om å beskytte privatlivet mot utenforståendes innsyn og inntreden. Dette gjelder ikke bare den enkelte selv, men også familie, andre nærstående samt deres felles bolig mv. Denne interessen taler for en begrensning i arbeidsgivers adgang til å avlytte de ansattes telefoner.

En annen interesse knytter seg til et krav om innsyn og kunnskap om behandling av opplysninger. Et aspekt er behovet for informasjon om hvilke regler som gjelder og om egen rettsstilling. Videre er det et behov for at den opplysningene gjelder skal gjøres kjent med at opplysninger samles inn og behandles, samt hvordan dette gjøres. En annen side er at den enkelte også må kunne kreve innsyn i de opplysninger som behandles. I sammenheng med dette vil det gjerne fremmes krav om at beslutninger begrunnes. Dette sikrer blant annet at arbeidstaker blir kjent med hvordan opplysningene blir brukt og gir mulighet til å gripe inn om opplysningene er feil eller blir brukt i strid med forutsetningene for eksempel for et samtykke. Regler om varslingsplikt, kunngjøring og begrunnelse er på denne bakgrunn stikkord som betegner fremgangsmåter for å skape kunnskap. Interessen i innsyn og kunnskap ligger bak for eksempel personopplysningslovens og straffelovens krav om at de ansatte skal vite om eventuell fjernsynsovervåking på arbeidsplassen.

Krav om opplysnings- og behandlingskvalitet er også en personverninteresse. Dette sikter til egnethet i forhold til bruksformål. Opplysningskvalitet handler om opplysningers egnethet for å oppfylle bestemte formål i tråd med behov og forventninger til en viss brukergruppe. Her kan man for eksempel utlede krav til opplysningenes relevans, presisjonsnivå og riktighet. Behandlingskvalitet dreier seg om en tilsvarende egnethet ved rutiner mv for behandling av opplysninger. Dette kan for eksempel bety at opplysninger om helse eller funksjonsevne skal være relevante og nødvendige i forhold til utførelsen av den ansattes arbeidsoppgaver.

Ut fra personverninteressene kan man videre utlede et krav om forholdsmessig kontroll. I dette ligger et ideal om at iverksettelse av tiltak skal bygge på en forholdsmessighet mellom blant annet veiledning og kontroll og mellom forhånds- og etterkontroll. Kontrolltiltak vil ofte være arbeidskrevende og dermed dyre å gjennomføre. Dette tvinger i seg selv frem en forholdsmessighet. Utviklingen av IKT gir imidlertid stadig nye muligheter til å øke kontrollomfanget til akseptable kostnader. Arbeidsgivere kan for eksempel enkelt bruke loggopplysninger fra PC-er for å kontrollere at innsatsen står i et rimelig forhold til bestemmelsene i arbeidsavtalen mv. Forholdsmessighet innebærer også at det bør stilles krav til type tiltak og måten tiltaket gjennomføres på. Virkemiddelet skal med andre ord stå i forhold til målet.

Et siste aspekt som skal nevnes her er krav til brukervennlig behandling av personopplysningene. Dette kan for eksempel bety at kontrolltiltakene skal utvikles, evalueres og eventuelt revideres i samråd med arbeidstaker eller arbeidstakerrepresentanter.

Særlige kjennetegn ved arbeidsavtalen

En rekke kontraktsforhold vil i praksis nødvendiggjøre en viss kontroll og behandling av personopplysninger. Typisk vil långiver før inngåelse av en kredittavtale kreve en rekke opplysninger om låntakers, og kanskje dennes ektefelles, inntekts- og formuesforhold, hvilken tilknytning kunden har til arbeidslivet, hvorvidt kunden er registrert som dårlig betaler osv. Det samme vil i større eller mindre utstrekning være tilfelle ved andre typer avtaler som kjøp av hus, hytte eller bil, i pensjonsforhold, forsikringsforhold, transportavtaler, ved behandling i helseinstitusjoner, kjøp av feriereiser osv.

Det kan reises spørsmål om det er aspekter ved arbeidsavtalen i seg selv som bør ha betydning for hvilke skranker som skal gjelde for adgangen til kontroll og behandling av personopplysninger. Problemstillingen er interessant fra to synsvinkler. For det første om det er særlige karakteristika ved arbeidsavtalen som taler for at en viss kontroll bør kunne finne sted, men også motsatt, hvorvidt det er særlige forhold som taler for at det bør settes begrensninger for kontrolltiltak i arbeidsforhold.

Karakteristisk ved arbeidsavtalen er at den etablerer et personlig forhold; arbeidstaker stiller sin arbeidskraft, kunnskap og person til disposisjon for arbeidsgiver. Ettersom selve kontraktsytelsen er så nært knyttet til arbeidstakeren som person, vil også kontroll med kontraktsoppfyllelsen innebære kontroll av den personlige sfære og således lett oppleves som integritetskrenkende.

Et annet særtrekk ved arbeidsavtalen er arbeidstakers særlige troskaps- og lojalitetsplikt overfor arbeidsgiver. Troskaps- og lojalitetsplikten setter skranker for arbeidstakers handlefrihet i den utstrekning arbeidstaker ved å handle – eller ved å la være å handle – opptrer i strid med arbeidsgivers interesser. Kravet til lojalitet og troskap gjelder ikke bare i forhold til oppfyllelse av arbeidsavtalen i snever forstand, dvs å utføre arbeidet på en måte som er i samsvar med arbeidsgivers interesser, men gjelder også i varierende grad utenfor arbeidstid og arbeidssted. Typisk vil arbeidstaker ikke stå fritt til å ha bierverv som innebærer konkurranse med arbeidsgiver eller fritt fremme private synspunkter om arbeidsgiver eller hans virksomhet.

Troskaps- og lojalitetsplikten er en grunnleggende forutsetning for alle arbeidsforhold. Lojalitetsplikten er imidlertid begrenset, f. eks. ved at den bare gjelder forhold som er relevante og av en viss betydning for arbeidsgivers virksomhet og for forholdet mellom partene. En arbeidsgiver kan således ikke føre kontroll med arbeidsgivers ytringer eller handlinger i sin alminnelighet. Han kan bare kreve tilbakeholdenhet – eller eventuell aktivitet – i den grad det er nødvendig pga. det særlige tilknytningsforhold som arbeidsforholdet etablerer.⁴¹ Rekkevidden av troskaps- og lojalitetsplikten vil variere bl.a. ut fra virksomhetens og stillingens art. Generelt vil lojalitetskravet, med tilsvarende potensiell kontrollinteresse fra arbeidsgiver, være sterkere jo tydeligere arbeidstaker identifiseres med arbeidsgiver og hans interesser. Eksempelvis er valg av privatbil normalt en privat avgjørelse som arbeidsgiver ikke har noe med, men samtidig kan det vel eksempelvis tenkes at Volvo vil anse det svært uheldig om selskapets direktør i fritiden kjører rundt i en SAAB.

Fotnote 41) Arne Fanebust, Innføring i arbeidsrett, 1997 s. 114.

For å ivareta sine kontraktsmessige forpliktelser, vil arbeidsgiver nødvendigvis måtte behandle en rekke personopplysninger om arbeidstaker, for eksempel i forbindelse med lønnsfastsettelse og lønnsberegning, ivaretakelse av sykepengeforpliktelser, pensjonsforhold osv. Tilsvarende vil oppsigelse eller annen avvikling av arbeidsavtalen kunne betinge behandling av personopplysninger, f. eks. ved å etterleve vedtatte utvelgelseskriterier ved en nedbemanningsprosess.

Disse særtrekkene ved arbeidsavtalen viser at elementer av kontroll/behandling av personopplysninger til en viss grad ligger ”innbakt” i avtaleforutsetningene, det kan således være grunnlag for å hevde at det å inngå en arbeidskontrakt i seg selv innebærer et visst avkall på personvern.

Det er imidlertid også sider ved arbeidsavtalen og arbeidsforhold som synes å trekke i motsatt retning. Et trekk ved arbeidsavtalen er at muligheten for vedvarende kontroll og innsyn er mer omfattende enn i de fleste andre kontraktsforhold. For det første legger IKT til rette for å gjennomføre visse kontrolltiltak i den forstand at kontrollen kan være enkel og lite ressurskrevende å gjennomføre (logging, lese e-post osv). Dernest skaper arbeidskontrakten et, ofte langvarig, sosialt forhold mellom kontraktspartene. Denne sosiale relasjonen, nærheten mellom partene i arbeidsforholdet, vil i seg selv gi større mulighet til løpende innsyn og kontroll enn i andre kontraktsforhold. Momentene taler i seg selv for restriktive regler på området.

Overordnede hensyn

Det kan etter underutvalgets syn stilles opp noen overordnede hensyn som åpenbart bør søkes ivaretatt når behovet for nye lovregler om kontroll og behandling av personopplysninger i arbeidslivet skal vurderes.

For det første synes det å være behov for å styrke og klargjøre arbeidstakernes personvern på området. De sentrale elementer i interesseteorien som er beskrevet ovenfor, bør danne utgangspunkt for overveielsene. Et særlig moment er den teknologiske utvikling som gir arbeidsgiver stadig økende mulighet til å utøve omfattende kontroll av arbeidstakerne, både med hensyn til kontrollområder og omfang; samtidig som det kreves mindre ressurser til å gjennomføre kontrollen. Det faktum at kontrollmulighetene er så velutviklet og tilgjengelige gjør det dessuten sannsynlig at de faktisk vil bli benyttet. Selv om arbeidsgiver i utgangspunktet ikke føler særlig behov for eksempelvis å kontrollere de ansattes Internett-bruk, kan den lille ressursinnsatsen som kreves (gjennomgå dataloggen) gjøre det fristende å sjekke ”for sikkerhets skyld”. Et forhold av relativt ny dato er dessuten at det er mulig å kontrollere et stort antall forskjellige forhold gjennom ett eller et meget begrenset antall medier. Som eksempel kan det vises til magnetkortet som brukes både som nøkkel, for å registrere tid og som betalingskort i kantinen, eller dataloggene som kan vise alt fra hvilke dokumenter det har vært arbeidet med, jobbmønster som pauser og tidsforbruk osv., til hvilke sider som er besøkt på Internett.

Et annet overordnet hensyn bør være å ivareta virksomhetens rimelige behov for kontroll og behandling av personopplysninger i forbindelse med kontrolltiltak. Som nevnt ovenfor vil kontrolltiltak ikke nødvendigvis være i konflikt med arbeidstakers interesser, men det generelle utgangspunkt vil likevel alltid være at det er et vilkår for rettmessig kontroll at arbeidsgivers kontrollinteresse må veie tyngre enn hensynet til arbeidstakernes personvern. Det er i denne sammenheng et viktig hensyn at eventuelle nye regler bør være egnet til å ivareta det tempo avgjørelser på dette området ofte må tas i innenfor arbeidslivet.

Et svært viktig hensyn i avveiningene er å sikre brukervennlige regler som sikrer tilgjengelighet og forutberegnelighet. Den kanskje største svakheten med dagens rettstilstand er nettopp at den dels er vanskelig å finne frem i og dels at den gir dårlig veiledning med hensyn til partenes rettigheter og plikter.

Et forhold som står i nær sammenheng med selve kontrolladgangen og behandling av arbeidstakeropplysninger, er måten tiltakene blir gjennomført på. Det er et svært viktig hensyn at avveiningene sikrer forsvarlig saksbehandling, særlig med hensyn til innsyn og annen arbeidstakermedvirkning.

Til slutt må det være et overordnet hensyn å sikre et hensiktsmessig regime for tilsyn og konfliktløsning. Stikkord i denne forbindelse vil kunne være personvernombud, tilsynmyndighet (Arbeidstilsyn/Datatilsyn), erstatnings- og/eller straffebestemmelser.

Formål med kontrolltiltak i arbeidslivet

Innledning

De ulike kontrolltiltak som gjennomføres i arbeidslivet kan ha svært forskjellige formål. En liste over en del typiske formål som kan ligge til grunn for arbeidsgivers kontrolltiltak kan grupperes slik:

Nødvendig administrativ kontroll
Kontroll som eksplisitt angår arbeidsinnholdet og virksomhetens formål
Kontraktsoppfyllelse
Personprofiler
Mistanke om mislige forhold
Kontroll for å etterprøve ideelle krav hos ansatte og overskuddsmaksimering
Kontroll av nærstående
Særlige inngripende tiltak
Vedvarende overvåking

Arten av – og formålet med – kontrolltiltaket har i mange tilfeller betydning for hvor inngripende det vil virke for de ansatte, noe som igjen bør ha sentral betydning ved vurdering av behovet for nye regler på området. I det følgende gis noen korte kommentarer til listen over typiske kontrollformål.

Nødvendig administrativ ”kontroll”

Typiske, men absolutt ikke uttømmende, eksempler på nødvendig administrativ kontroll er tiltak i forbindelse med lønnsutbetaling og lønnsfastsettelse, f. eks.. der tariffavtalene gir anvisning på individuell evaluering ved de årlige lønnsforhandlinger og lønnsjusteringer. ⁴²

Fotnote 42) Slike regler forekommer mer og mer i tariffavtalene og er standard i funksjonær- og lederoverenskomstene i privat sektor, men begynner også å vinne innpass i de tradisjonelle arbeideroverenskomstene, f. eks. offshoreavtalene og NKIF-overenskomsten (LO/NKIF – NHO/PIL), og videre ved registrering av fravær, innhenting av opplysninger i forbindelse med ansettelse, omorganisering, nedbemanning osv.

Tiltak i forbindelse med nødvendig administrativ kontroll må i vår sammenheng i prinsippet anses å være uproblematiske og det vil her som regel ikke være naturlig å tale om behandling av personopplysninger som følge av kontrolltiltak, men snarere om behandling av arbeidstakeropplysninger i forbindelse med ordinær personaladministrasjon. Kontrollaspektet vil med andre ord her sjelden være særlig fremtredende. Ny lovgivning bør klargjøre at behandling av personopplysninger som ledd i nødvendig personaladministrasjon kan finne sted uten eksplisitt samtykke fra de ansatte eller annen særskilt hjemmel, forutsatt at opplysningene ikke benyttes ut over formålet og at grunnleggende krav til forsvarlig saksbehandling etterleves, herunder krav til betryggende behandling når det gjelder hvem som har tilgang til opplysningene, sikring av konfidensialitet for øvrig, forsvarlig begrensning av videreformidling av arbeidstakeropplysninger, samt sletting når det ikke lenger er nødvendig å lagre opplysningene.

Kontroll som eksplisitt angår arbeidsinnholdet og virksomhetens formål

Eksempler på kontroll som angår arbeidsinnholdet og virksomhetens formål kan være kvalitetskontroll og annen produksjonskontroll, ivaretakelse av helse-, miljø- og sikkerhetshensyn, herunder kontrolltiltak og behandling av personopplysninger i forbindelse med gjennomføring av arbeidsgivers omsorgsansvar for enkeltansatte, f. eks. i tilknytning til tilrettelegging av arbeidet for yrkeshemmede ansatte. Slike kontrollformål reiser i prinsippet få problemer i forhold til gjeldende rett når det gjelder arbeidsgivers adgang til å foreta kontroll. Behandling av personopplysninger bør her i utgangspunktet være tillatt når selve kontrolltiltaket er berettiget, dvs når behandlingen er relevant eller nødvendig for en forsvarlig ivaretakelse av slike forpliktelser og formål. Det er i dag en viss rettslig uklarhet med hensyn til forholdet til personopplysningslovens regler og en klargjøring vil være ønskelig.

Kontraktsoppfyllelse

Arbeidsgivers kontroll med at ansatte oppfyller arbeidskontrakten er kanskje det mest klassiske kontrollformålet. Eksempler på slik kontroll er tidsregistrering, kontroll av produksjon og måloppnåelse. Kontrollformålet ”tangerer” langt på vei forrige punkt og løsningen bør også være den samme. Forutsatt betryggende saksbehandling bør arbeidsgiver i utgangspunktet ha anledning til å behandle personopplysninger som fremkommer gjennom kontroll av denne art .

Personprofiler

Med personprofiler siktes det til ”opplysninger som er sammensatt for å beskrive preferanser, adferd, behov, evner m.v.”⁴³Poenget er altså at man, gjennom et mønster av personopplysninger trekker slutninger om personlige egenskaper eller personlig fremtidig handlingsmønster. I arbeidslivet er det særlig aktuelt å bruke personprofiler ved ansettelse eller forfremmelse for å trekke slutninger om for eksempel lederegenskaper eller om vedkommende vil kunne være en sikkerhetsrisiko. Det problematiske med personprofiler i et personvernperspektiv er ikke først og fremst at man sammenstiller opplysninger og derigjennom konkluderer om skikkethet osv. (Dette vil i større eller mindre utstrekning være tilfelle i enhver ansettelsessak). Problemet er særlig at modellene som benyttes ved personprofilering kan være upålitelige, samtidig som de fremstår som autoritative og vanskelig å forvare seg mot. Personopplysningsloven § 21 har generelle bestemmelser om informasjonsplikt ved bruk av personprofiler. Bestemmelsen er ikke særlig tilpasset arbeidslivet og det er mulig det bør vedtas særregler for dette.

Fotnote 43) NOU 1997: 19 , s. 148.

Mislige forhold

Arbeidsgivers adgang til å foreta kontroll av ansatte ved mistanke om alvorlige mislige forhold og uregelmessigheter er i utgangspunktet klar. Det er imidlertid rettslig usikkerhet med hensyn til hvor vid adgangen er til å behandle opplysninger om de ansatte som fremkommer ved slik kontroll uten samtykke eller annen hjemmel, ut over det som kan utledes av arbeidsforholdets rett (lojalitetsplikt, styringsretten osv), jf. punkt 7.3. om forholdet mellom personopplysningsloven og de arbeidsrettslige prinsipper. Gode grunner tilsier at arbeidsgiver som hovedregel bør kunne behandle slike opplysninger. Arbeidsgiver som gjennom kontroll (eller på annen måte) avdekker misligheter vil regulært ha en beskyttelsesverdig interesse i å eksempelvis lagre en advarsel eller møtereferat på vedkommendes personalmappe. Hensynet til forsvarlig saksbehandling, som også ivaretar arbeidstakers interesse, tilsier også at dette må kunne gjøres.

Ideelle krav til ansatte og overskuddsmaksimering

Et eksempel her kan være undersøkelse av fritids- eller spisevaner for å forebygge fremtidige sykefravær eller kontroll ut fra rene disiplineringshensyn. Slike formål er i seg selv neppe beskyttelsesverdige og det er tvilsomt om det overhodet vil kunne være rettslig grunnlag for å gjennomføre kontrolltiltak ut fra slike formål alene. I den utstrekning kontrolltiltaket ikke er rettmessig, bør det i utgangspunktet heller ikke være grunnlag for å tillate behandling av personopplysninger i samband med formål av denne art.

Kontroll av nærstående

Arbeidsgivers kontrollinteresse kan rekke videre enn til sine egne ansatte og kan etter omstendighetene også omfatte arbeidstakernes nærstående, for eksempel i forbindelse med kontroll av bierverv eller privatøkonomiske spørsmål. Problemstillingen er sammensatt og vanskelig å generalisere. I utgangspunktet har arbeidsgiver ikke noe med ”å legge seg opp i” nærståendes forhold, som arbeidsgiver jo ikke er i noe kontraktsforhold med. Samtidig er det klart at tungtveiende hensyn etter omstendighetene kan tale både for kontrolladgang og adgang til å behandle de opplysninger som fremkommer gjennom kontrollen. Forvaltningslovens habilitetsregler som gjelder for offentlig ansatte kan for eksempel gjøre det nødvendig for arbeidsgiver å foreta undersøkelser om nærståendes formuesforhold. Private arbeidsgivere vil kunne ha tilsvarende behov. Reglene i helsepersonelloven om legers bierverv kan i denne sammenheng tjene som eksempel.

Særlig inngripende tiltak

Eksempler på tiltak som må anses særlig inngripende, er kontroll av alkohol- og annen rusmiddelbruk, helseforhold, tidligere straffbare forhold eller tidligere mistanke om straffbare forhold, post/korrespondanse, jobbmønster, logging osv. Selv ved slike inngripende tiltak, vil det etter omstendighetene kunne foreligge tungtveiende grunner som både taler for at det bør være en viss adgang til å iverksette kontroll og til å behandle personopplysninger som fremskaffes gjennom kontrollen. Helsekrav eller krav til at arbeidstaker ikke er påvirket av rusmidler kan f. eks. være så viktige at de rettferdiggjør inngripende helsekontroll eller rusmiddelkontroll. Dette kan gjelde personell i særlig risikoutsatte virksomheter (offshorevirksomhet, flytrafikk, skipsfarten og annen transportvirksomhet), for helsepersonell, personell som er utsatt for særlig farlige stoffer, for arbeidstakere innen næringsmiddelindustrien, osv. Det må være en absolutt forutsetning at testmetodene gir sikre resultater og at den ikke gjennomføres på en krenkende måte jf. for så vidt Atomkraftverk-saken, referert i AD 1998, s 97, omtalt under pkt 5.3.2 Reguleringsteknisk vil det antagelig være tilstrekkelig å regulere adgangen til behandling av personopplysninger som fremskaffes gjennom kontrollen. Dersom det ikke er adgang til å behandle opplysningene, vil formålet med kontrollen regelmessig ikke kunne oppfylles og kontrolltiltaket vil da regulært måtte anses som urettmessig.

Uansett vil alle kontrollformer nevnt innledningsvis i avsnittet være av så inngripende art at det bør settes strenge vilkår for adgangen til å behandle opplysningene. Mye kan tyde på at slik behandling bør begrenses til tilfeller hvor den er nødvendig for å oppfylle nærmere angitte formål. Det kan med andre ord fastsettes nødvendighetskriterier, se nærmere under punkt 10.6.3 om dette.

Vedvarende overvåking.

At et kontrolltiltak er vedvarende gjør at det virker særlig inngripende for den som blir kontrollert og bør bare tillates i unntakstilfelle. Det typiske eksempelet på slik vedvarende kontroll er fjernsynsovervåking, og det kan for så vidt vises til personopplysningslovens omfattende regulering av dette (lovens kap. VII, se punkt 5.5.8). Selv om vedvarende overvåkingstiltak innebærer en særlig stor belastning, vil den likevel kunne være nødvendig av sikkerhetsgrunner, f. eks. i banklokaler, i forbindelse med kontroll av kritiske arbeidsoperasjoner i Nordsjøen eller i forbindelse med transportvirksomhet. Som ved andre tiltak av særlig inngripende karakter (jf. ovenfor), må det settes strenge vilkår.

Sum av tiltak

Etter generell personvernteori vil summen av flere kontrolltiltak kunne gjøre kontrollregimet inngripende, selv om hvert enkelt kontrolltiltak i seg selv kan fremstå som lite belastende. Hvert kontrolltiltak vil isolert kunne vurderes å være berettiget, dvs. være saklig begrunnet, forholdsmessig osv. Likevel vil den ”akkumulerte” belastning ved mange tiltak samtidig kunne være så stor at et kontrolltiltak av den grunn blir uakseptabelt. Det kan således være behov for ikke bare å stille vilkår i forbindelse med det enkelte (inngripende) kontrolltiltak, men at det også settes rammer for den samlede kontrollbelastning den ansatte utsettes for. Det samme gjelder i forhold til den totale mengde av arbeidstakeropplysninger som behandles i virksomheten.

Foreløpig oppsummering - grunnvilkår

Innledning

Det er åpenbart behov for visse kontrolltiltak i alle virksomheter både i privat og offentlig sektor. Utgangspunktet bør være at det er adgang til å iverksette kontrolltiltak og til å behandle personopplysninger om arbeidstakere som fremkommer gjennom kontrollen dersom dette er nødvendig for en forsvarlig personaladministrasjon og for å ivareta sentrale krav til helse-, miljø og sikkerhet ved virksomheten. Det er neppe tungtveiende personvernhensyn som taler mot den dagligdagse løpende og – normalt – nødvendige kontroll som f. eks. tidsregistrering, adgangskontroll, kvalitets- og produksjonskontroll, lønnskjøring, lønnsjustering, fravær, tilrettelegging og tilpasning, kontroll med bruk av sikkerhetsutstyr og sikkerhetssystemer, kontroll ved saklig fundert mistanke om alvorlige misligheter osv. Tungtveiende mothensyn kan likevel gjøre seg gjeldende også her dersom det er tale om inngripende tiltak, f. eks.. der ivaretakelse av helse- og arbeidsmiljø gjør det nødvendig å innhente helseopplysninger eller lignende. Ved de mer inngripende former for kontrolltiltak og behandling av personopplysninger om de ansatte, er det behov for å klargjøre grensene for den rettmessige kontroll og behandling, f. eks.. med hensyn til når samtykke skal være nødvendig for å kunne behandle personopplysninger om de ansatte.

Det synes mulig å angi visse grunnleggende vilkår som generelt må antas å innebære en rimelig avveining av virksomhetens behov for kontroll og behandling av personopplysninger om de ansatte på den ene side og arbeidstakernes krav på vern av sin privatsfære på den annen side. Disse grunnkravene blir behandlet i det følgende.

Begrensning av behovet

Begrensning av behovet for kontrolltiltak og behandling av arbeidstakeropplysninger bør gjelde som generell norm for alle kontrolltiltak og all behandling av personopplysninger i arbeidsforhold. Dette betyr at før et kontrolltiltak iverksettes skal mindre inngripende alternativer være vurdert. Eksempelvis kan arbeidsgiver i stedet for å kontrollere om de ansatte misbruker arbeidstida til å følge ”Reality-TV” på Internett, vurdere om informasjonstiltak kan være tilstrekkelig eller om tilgangen til aktuelle hjemmesider teknisk kan avskjæres. I stedet for kontinuerlig kameraovervåking som sikkerhetstiltak i en nattåpen bensinstasjon, kan det vurderes om det i stedet bør være flere på vakt osv.

Saklig begrunnet behov

Det enkelte kontrolltiltak eller behandling av personopplysninger bør være underlagt et alminnelig krav til saklighet, dvs at det må være saklig begrunnet ut fra virksomhetens forhold, samfunnshensyn eller av hensyn til den enkelte arbeidstaker. Videre må det kunne kreves at tiltaket/behandlingen skal være egnet til å fremme formålet, og at det ikke blir iverksatt vilkårlig overfor arbeidstakerne.

Det kan generelt legges til grunn at arbeidsgivers utøvelse av styringsretten begrenses av slike alminnelige saklighetsnormer, se ytterligere om dette under punkt 5.2.2. Langvarig rettspraksis konkretisert til spørsmålet om kontrolltiltaks rettmessighet krever det samme, se om de ulovfestede arbeidsrettslige prinsipper under punkt 5.3.2 og gjennomgangen av kasuistikken under punkt. 5.5. Alle aktuelle avtaler som Tilleggsavtale V til Hovedavtalen mellom LO og NHO slår fast det samme prinsippet og dette gjelder dessuten generelt for behandling av personopplysninger, jf. personopplysningsloven § 11.

Forholdsmessighet

Det bør stilles krav om forholdsmessighet mellom formålet og hvor inngripende tiltaket og behandlingen vil virke overfor den eller de ansatte. Forholdsmessighetskravet er slått fast gjennom rettspraksis, og i avtaler mellom arbeidslivspartene, som vilkår for arbeidsgivers kontrolltiltak, se f. eks. punkt 5.3.2. Dette kravet har dessuten nær tilknytning til kravet om begrensning av behovet, jf. ovenfor. Dersom behovet ikke kan fjernes eller begrenses må det i alle fall ikke være mer inngripende enn det som er nødvendig for å oppfylle formålet.

Det må dessuten være et absolutt krav at tiltaket ikke virker krenkende.

Forsvarlig saksbehandling og gjennomføring

Det må stilles krav til forsvarlig saksbehandling og gjennomføring av tiltakene.

Forvarlig saksbehandling og gjennomføring vil stille krav til:

Informasjon og drøftelser (forutgående og løpende)
Evaluering av behovet og avvikling når formålet er oppfylt
Forsvarlig gjennomføring og sikre resultater
Sletting av opplysningene når de ikke lenger er nødvendig å oppbevare
Rett til innsyn i hvilke opplysninger som behandles
Forsvarlig tilsyn og tvisteløsningsmekanismer

Disse punktene er i samsvar med de krav rettspraksis stiller til utøvelsen av arbeidsgivers styringsrett og harmonerer godt med det alminnelige saklighetskrav i arbeidsretten, samt med hovedhensynene i personopplysningsloven og de sentrale elementer i interesseteorien.

En særlig mulighet kan være at arbeidstakerorganisasjonene alltid skal kunne ta spørsmålet om alternative kontrollstrategier mv opp til drøfting med arbeidsgiver. Dersom det ikke er enighet om hva som er et akseptabelt kontrollnivå eller akseptabel kontrollstrategi i virksomheten, bør arbeidstakersiden ha rett til å få protokollført en begrunnet innsigelse mot tiltaket og kontrollmåten. Dersom det senere kommer til strid om lovligheten av kontrollen, eller det oppstår skade pga kontrolltiltaket, vil slike protokolltilførsler kunne ha relevans og telle med i en domstols vurdering av erstatningsplikt mv. For eksempel betinger arbeidsgiver seg at familieopplysninger om en person som søker arbeid som selger, blir tilgjengelig på arbeidsgivers nettsider. Dette kreves av "alle" i bransjen, og fremstår derfor for arbeidssøkende som et standard vilkår, til tross for at ingen av partene anser slike opplysninger som "nødvendige" og det derfor kreves samtykke fra den enkelte.

Nærmere om behovet for nye regler

De fleste av de hovedhensyn som er omtalt under forrige punkt, er som nevnt allerede langt på vei ivaretatt gjennom gjeldende regler i lov og avtaleverk og gjennom ulovfestede arbeidsrettslige regler og retningslinjer hvor også hensynet til vern av de ansattes integritet inngår som sentrale elementer.

Det er sannsynligvis ikke behov for lovfesting av selve kontrolladgangen. Det synes ikke å være behov for materielle endringer og spørsmålet synes ikke så godt egnet for særskilt regulering. Dette bl.a fordi det foreligger et så vidt spekter av mulige kontrollsituasjoner og at lovligheten bør avhenge av en skjønnsmessig vurdering av en lang rekke momenter. Som antydet under vurderingen av lovstrukturskissene (punkt 9.5) og gjennomgangen av hovedproblemstillingene (punkt 10.1.2), er det imidlertid andre grunner som kan tale for å lovregulere de generelle vilkår for arbeidsgivers adgang til å gjennomføre kontrolltiltak.

Etter underutvalgets oppfatning, er det imidlertid åpenbart behov for ny regulering når det gjelder adgangen til å behandle personopplysninger om de ansatte som fremkommer som resultat av kontrolltiltak. Gjennomgangen i foregående kapitler underbygger dette. Det er mye som taler for at det bør innføres generelle bestemmelser som angir de alminnelige vilkår for rett til å behandle opplysninger av denne art, som i Finland og som foreslått i Sverige. Slike generelle bestemmelser om behandling av personopplysninger i arbeidslivet, kan eventuelt suppleres med særregler på enkelte områder. Særlig hensynet til forutberegnelighet, brukervennlige regler og hensynet til å styrke og klargjøre arbeidstakernes personvern på dette området taler for ny og presiserende lovregulering her.

Alminnelige vilkår for behandling av personopplysninger om ansatte

Innledning

Alminnelige vilkår for behandling av personopplysninger kan angis på forskjellig måte og med forskjellig ”styrkegrad”. I det følgende gis en kort omtale av slike vilkår.

Relevanskrav

Den finske loven om integritetsvern i arbeidslivet oppstiller som alminnelig vilkår for behandling av personopplysninger om ansatte at opplysningene har direkte relevans for arbeidstakerens ansettelsesforhold, og for forhold som har å gjøre med håndteringen av rettigheter og plikter mellom arbeidsgiver og arbeidstaker eller med arbeidsoppgavenes særlige karakter. Vilkåret om relevans er absolutt og kan ikke fravikes ved samtykke. Som nevnt også under punkt 4.2 kan det umiddelbart synes som om et krav om ”relevans” alene ikke angir et tilstrekkelig strengt behandlingsvilkår i forhold til personverndirektivet som har et krav om ”nødvendighet” knyttet til nærmere angitte grunner (der behandlingen ikke baseres på lov eller samtykke). Finske myndigheter opplyser imidlertid som nevnt at relevanskravet ikke skal forstås som en innskrenkning i forhold til direktivets krav til nødvendighet, men at spesiallovens relevanskrav er ment å komplementere og presisere direktivets krav.

Nødvendighetskrav

Personverndirektivet (og personopplysningsloven) tillater generelt behandling av personopplysninger dersom nærmere angitte nødvendighetsgrunner er til stede. Også i evt. særregulering kan det stilles krav til nødvendighet, enten som et generelt nødvendighetsvilkår og/eller knyttet opp og kvalifisert til det enkelte tiltak. I det svenske forslaget til lov om beskyttelse av personlig integritet i arbeidslivet, stilles det således opp forskjellige nødvendighetskriterier som vilkår for å behandle private elektroniske opplysninger, helse- og rusmiddelopplysninger, og opplysninger om lovovertredelser. Til det siste foreslås det for eksempel at behandling av opplysninger om lovovertredelser betinger at behandlingen er nødvendig for å bedømme arbeidstakerens eller arbeidssøkerens pålitelighet av hensyn til ”säkerheten för det allmänna eller för arbetsgivarens verksamhet” jf. utkastets § 9”.

Også Breisteinutvalgets forslag til regulering av helseopplysninger i arbeidslivet (NOU 2001: 4) stiller krav om nødvendighet, f. eks. stilles det krav om at innhenting av helseopplysninger ved ansettelse skal være betinget av at opplysningene er ”nødvendige for å utføre de arbeidsoppgaver som knytter seg til stillingen.” ⁴⁴

Fotnote 44) NOU 2001: 4, s. 104, forslag til ny § 30 B i arbeidsmiljøloven.

Forbud

Det kan tenkes at et tiltak anses å være så inngripende at det ikke finnes nødvendighetsgrunner som i tilstrekkelig grad veier opp for integritetskrenkelsen, og at det derfor må forbys. For eksempel kan det være grunn til å fastsette at arbeidsgiver ikke skal ha adgang til å lese arbeidstakers private e-post. Et slikt forbud kan formuleres absolutt, eller – og som regel mer hensiktsmessig - at det gis unntak for tilfeller hvor arbeidstaker samtykker i tiltaket. Betenkeligheten ved å la arbeidsgiver lese privat e-post og lignende er åpenbart mindre dersom arbeidstaker eksplisitt samtykker til dette.

Konklusjon

Gjennomgangen av mulige vilkår for behandling av arbeidstakeres personopplysninger, viser at det i en særregulering kan være hensiktsmessig å vurdere en kvalifisering av vilkår ut fra kontrolltiltakets formål og opplysningenes art. Det kan i den forbindelse for så vidt også vises til gjennomgangen under punkt 10.3 av de typiske formål som ligger til grunn arbeidsgivers ulike kontrolltiltak og behandling av personopplysninger i denne forbindelse.

Behov for særregulering på spesielle områder

Problemstilling

Etter underutvalgets syn er det mye som taler for at det er behov for å gi særregler for enkelte særlig inngripende tiltak, og hvor vilkårene kan kvalifiseres som nevnt under foregående punkt.

En særregulering av vilkårene for kontrolltiltak i arbeidslivet bør dessuten, uansett rekevidde, sannsynligvis følges av særlige saksbehandlingsregler og egne regler om tilsyn og konfliktløsning. I den utstrekning det blir foreslått nye lovregler på dette feltet bør det dessuten generelt vurderes å innføre en ordning med ”personvernombud”, se punkt 11.2.4.

Helseopplysninger og rusmiddelkontroll

NOU 2001:4 (Breisteinutvalget)

Breisteinutvalgets innstilling, ble avgitt til Sosial- og helsedepartementet 12. desember 2000. Utvalgets mandat var å kartlegge gjeldende regelverk og praksis vedrørende rettigheter og plikter i forbindelse med innhenting og bruk av helseopplysninger i arbeidslivet, samt foreslå eventuell endringer i regelverket.

Utvalget definerer helseopplysninger som informasjon som kan bidra til å kartlegge personers nåværende og mulige fremtidige helsetilstand. Det avgrenses mot såkalte ”personlighetstester” og helsekrav i forbindelse med sertifikater.

Et flertall i Breisteinutvalget kom til at det foreligger behov for ytterligere lovregler. Begrunnelsen er blant annet at gjeldende rettstilstand fremstår som uklar med spredt regelverk i diverse lover og forskrifter. Utvalget understreker at det har vært vanskelig å få fullgod oversikt over omfanget av bruk av helseopplysninger og helseundersøkelser. Flertallet legger likevel til grunn at de har fått dokumentasjon for at det forekommer en del uheldig praksis på dette området, og at dette er tilstrekkelig til å begrunne et lovforslag.

Et mindretall avga en generell merknad til innstillingen. Mindretallet hevder blant annet at flere arbeidsrettslige spørsmål i forslaget fortsatt er uklare, noe som gjør det vanskelig å konstatere om arbeidstakers helse og personvern vil bli bedre ivaretatt gjennom lovforslaget enn gjennom dagens praksis. Mindretallet poengterer imidlertid at de ser at det kan være behov for ytterligere reguleringer av bruk av helseopplysninger i arbeidslivet, og de er enige i at en slik regulering eventuelt hører hjemme i arbeidsmiljølovgivningen. I følge mindretallet må man komme tilbake til dette ved en nærmere dokumentasjon av behovet for slike reguleringer, og en grundigere utredning av de arbeidsrettslige spørsmål.

Av det samme mindretallet har to fremmet en særskilt dissens. Disse medlemmene anfører at de ikke finner det godtgjort at det foreligger behov for ytterligere lovregulering.

Etter utvalgsflertallets oppfatning bør spørsmålet om plikt til å utlevere helseopplysninger samt underkaste seg helseundersøkelser i arbeidsforhold ha en klar hjemmel i lov.

Utvalget påpeker at det etter gjeldende rett neppe foreligger adgang for arbeidsgiver til å gjennomføre helseundersøkelser eller kreve utlevert helseopplysninger mot arbeidstakers vilje uten lovhjemmel. Konsekvensen av å sette seg til motverge vil imidlertid ofte kunne oppleves som så betydelige at arbeidstaker/arbeidssøker likevel samtykker. I følge utvalgets flertall er bla. avhengigheten til arbeid og arbeidsgiver normalt så stor at det ofte kan være tvilsomt om kravet til frivillighet, som er et vilkår for gyldig samtykke, vil være oppfylt i et arbeidsforhold.

Utvalgsflertallet foreslår å sette strenge rammer i arbeidsmiljøloven for arbeidsgivers adgang til å innhente og bruke helseopplysninger fra arbeidstaker og arbeidssøker. Det foreslås at arbeidsgiver bare skal kunne pålegge medisinske undersøkelser av arbeidstakere, herunder rusmiddeltesting, der dette er bestemt i lov eller forskrift, ved stillinger som kan medføre særlig sikkerhetsrisiko, eller i tilfelle der det er skjellig grunn til mistanke om at arbeidstaker er påvirket av rusmidler og dette kan medføre fare for noens liv eller helse.

Utvalgets flertall er av den oppfatning at en arbeidssøkende bør ha tilsvarende rettslige vern ved innhenting og bruk av helseopplysninger som en arbeidstaker. Det antas at spørsmålet om innhenting og bruk av helseopplysninger er særlig aktuelt i forbindelse med en ansettelsesprosess. Flertallet viser til at arbeidsmiljøloven § 55 A allerede setter grenser for hva arbeidsgiver kan innhente av opplysninger fra arbeidssøker. En rekke av Arbeidstilsynets forskrifter som regulerer medisinske undersøkelser, omfatter tidsperioden før arbeidsstart. I annet regelverk finnes det en rekke krav om forutgående sertifisering og autorisering som også omfatter medisinske undersøkelser. Etter utvalgsflertallets syn bør derfor en lovregulering om helseundersøkelser og bruk av helseopplysninger i arbeidslivet også omfatte arbeidssøkende.

Som tidligere nevnt, påpeker utvalget at det har vært vanskelig å få fullgod oversikt over omfanget av bruk av helseopplysninger og helseundersøkelser. Det antas at en årsak til dette kan være mangelfull registrering hos arbeidsgivere og manglende krav til rapportering til en tilsynsmyndighet. Utvalgets flertall foreslår at arbeidsgivere skal registrere bruk av helseundersøkelser, og at de årlig og summarisk skal rapportere dette til Direktoratet for arbeidstilsynet. Flertallet antar dessuten at Arbeidstilsynet vil kunne ha nytte av en oversikt over utførte helseundersøkelser i arbeidslivet.

Flertallet foreslår at registreringen skal være tilgjengelig for virksomhetens arbeidsmiljøutvalg der slike finnes. Det antas at dette i seg selv vil kunne ha en viss dempende effekt på utbredelsen av bruken av helseundersøkelser.

Utvalgets flertall foreslår at arbeidstaker som mener at medisinske undersøkelser er pålagt uberettiget, kan påklage forholdet til Direktoratet for arbeidstilsynet. Arbeidstakeren skal dessuten kunne kreve erstatning etter samme regler som i arbeidsmiljøloven § 62 annet ledd andre punktum.

I forlengelsen av spørsmålet om det skal kunne kreves helseopplysninger av arbeidstaker/-søker oppstår spørsmålet om gjennomføringsmåte, oppbevaring og bruk av opplysningene. Her er det etter flertallets oppfatning viktig å ha klare regler slik at en arbeidstakers rettigheter og rettssikkerhet blir ivaretatt. Dette må gjøres gjennom lovgivning som tar høyde for den risiko for misbruk som alltid kan eksisterer når det gjelder sensitive opplysninger av denne art. Lovgivningen bør også gi klare vilkår og begrensinger både når det gjelder arten, omfanget og bruken av helseopplysningene og i størst mulig utstrekning knytte det nye lovverket til eksisterende pasient-, helse- og personvernlovgivning.

Etter utvalgets skjønn gir genetiske opplysninger et ufullstendig bilde av en persons/arbeidstakers mulige helserisikoer i fremtiden. Bruk av genetiske opplysninger kan utvilsomt være fordelaktig i noen situasjoner, men til bruk i arbeidslivet er genetiske opplysninger for usikre. Flere momenter, som for eksempel genenes samspill med miljøfaktorer, er ikke kartlagt. Det kan også være grunn til å frykte at man ved å tillate bruk av genetiske opplysninger i arbeidslivet, vil kunne komme til å flytte fokus fra arbeidsmiljøet til individet. Utvalget, med unntak av ett medlem, ønsker derfor å opprettholde gjeldende forbud mot bruk av genetisk informasjon i arbeidslivet, jf. lov om medisinsk bruk av bioteknologi § 6-7.

Innstillingen har vært på alminnelig høring med høringsfrist 1. oktober 2001. Det kom inn 59 eksterne høringssvar, hvorav 33 inneholdt vesentlige merknader til utredningen. I tillegg sa 9 høringsinstanser seg enig i konklusjonene til utvalgets flertall, uten å komme med synspunkter ut over dette.

Høringsinstansene er delt når det gjelder spørsmålet om behovet for lovregulering av innhenting, bruk og oppbevaring av helseopplysninger i arbeidslivet. Arbeidstakerorganisasjonene er, med unntak av Norsk helse- og sosialforbund, overveiende positive. Arbeidsgiverorganisasjonene finner det ikke godtgjort at det foreligger et reguleringsbehov. De fleste høringsuttalelsene kommer fra offentlige etater. I denne gruppen støtter de fleste utvalgets forslag om regulering. Også universiteter og høgskoler er positive til lovregulering.

Når det gjelder spørsmålet om videre oppfølging av NOU 2001: 4, har flere sentrale høringsinstanser uttrykt samme synspunkt. Både Direktoratet for arbeidstilsynet, Yrkesorganisasjonenes Sentralforbund, Finansnæringens hovedorganisasjon, Næringslivets Hovedorganisasjon, Handels- og servicenæringens hovedorganisasjon og Professor Stein Evju anser at forslagene bør følges opp som en del av arbeidslivslovutvalgets arbeid. Både det forhold at en mer omfattende lovutredning skal igangsettes, og at det her er snakk om revisjon av en lov som har sin tilhørighet utenfor Sosial- og helsedepartementet, taler for dette mener Evju.

Underutvalgets vurderinger av Breistein-utvalgets innstilling

Breistein-utvalgets forslag legger opp til en regulering både av adgangen til å kreve helsekontroll og av adgangen til å behandle helseopplysninger. Som underutvalget flere steder er inne på, er det en del momenter som kan tale mot en nærmere regulering av selve kontrolladgangen. Rettstilstanden tilsier at lovregulering av dette spørsmål ikke er nødvendig. Særlig aktuelt i denne sammenheng er det å vise til den svenske integritetsutredningen⁴⁵ som forgjeves forsøkte å komme frem til en hensiktsmessig regulering av kontrollvilkårene, og til den finske loven om integritetsbeskyttelse i arbeidslivet hvor man så langt heller ikke har lykkes i å regulere dette. Det er i denne sammenheng igjen viktig å understreke den nære forbindelsen mellom spørsmålene om rett til å iverksette kontrolltiltak og rett til å behandle opplysninger som fremkommer som et resultat av kontrollen. Dersom arbeidsgiver f. eks. ikke tillates å behandle resultatene av en rusmiddeltest, vil den normalt ikke være rettmessig å gjennomføre etter de ulovfestede arbeidsrettslige regler. Testen vil være formålsløs og vil derfor regulært ikke kunne sies å ha forankring i et saklig grunnlag.

Fotnote 45) SOU 2002:18, særlig s. 189 flg. Se også punkt 9.5 hvor det redegjøres grundigere for dette.

Når det gjelder de nærmere vilkår som bør kreves for arbeidsgivers behandling av helseopplysninger og rusmiddelkontroll, synes et nødvendighetsvilkår av den art flertallet i Breisteinutvalget har foreslått å være velegnet.

Spørsmålet om særlig regulering av rusmiddelkontroll og helseundersøkelser (og/eller behandling av opplysninger i den forbindelse) må ellers sees i sammenheng med totaliteten i den regulering som til syvende og sist måtte bli foreslått. Underutvalget nøyer seg med disse kommentarer. Underutvalget har for det første av tidsmessige årsaker ikke hatt mulighet til å gå nærmere inn på detaljene i Breisteinutvalgets innstilling. Underutvalget har dessuten ikke hatt tilgang til medisinsk ekspertise som er nødvendig for å foreta en forsvarlig vurdering.

Det vises for øvrig til underutvalgets merknader i gjennomgangen av gjeldende rett under punkt 5.5.3 hvor det også er knyttet enkelte rettspolitiske kommentarer til arbeidsgivers behov for å gjennomføre rusmiddelkontroll og helseundersøkelser av ansatte.

Personprofiler og personlighetstester

Personprofiler er særlig aktuelt i arbeidsforhold, for eksempel i tilknytning til ansettelse og forfremmelse av arbeidstakere. Det kan av den grunn være behov for å fastsette særlige bestemmelser om bruk av personprofiler i arbeidslivet. For det første kan det være grunn til å definere klarere hva en mener med uttrykket personprofil. For det andre kan det tenkes bestemmelser som fastsetter hvorledes bruk av slike profiler overfor arbeidstakere (og arbeidssøkere) kan skje. For eksempel kan mye tale for å innføre et forbud mot å foreta personalmessige avgjørelser utelukkende på grunnlag av personprofiler, i kombinasjon med en rett til begrunnelse for avgjørelser der personprofiler er blitt anvendt, jf. personopplysningsloven § 25 om rett til å kreve manuell behandling.

Når det gjelder personlighetstester, er det særlig to hensyn som kan gjøre at disse oppleves som særlig inngripende. For det første kan den konkrete testmetoden være upålitelig og gi usikre resultater. For det andre kan spørsmålene i slike tester være svært ”nærgående” og av privat natur og av den grunn oppleves særlig belastende. Det kan derfor være grunn til å vurdere en bestemmelse for eksempel etter mønster av § 8 i det svenske lovforslaget hvor det både stilles krav til metode og gjennomføring (”..på ett betryggande sätt med testinstrument som är tillförlitliga och av personer med adekvat utbildning”), samt at det stilles krav om samtykke fra abeidstakeren eller arbeidssøkeren.

E-post, Internett, bruk av datalogger

Arbeidsgivers adgang til å kontrollere arbeidstakers bruk av e-post, Internett og bruk av datalogger, er et felt hvor det kan være særlig vanskelig å foreta en hensiktsmessig avveining av arbeidsgivers og arbeidstakers behov. Både det faktum at det er svært enkelt og lite ressurskrevende å gjennomføre kontrolltiltak, at den kontrollerte ikke trenger å medvirke ved kontrollen, og at det kan dreie seg om svært private opplysninger (privat post) taler for strenge vilkår. Samtidig er det klart at arbeidsgiver etter omstendighetene kan ha svært gode grunner for å ”bryte seg inn” på en arbeidstakers ”private” område på en datamaskin, f. eks. ved mistanke om at arbeidstakeren benytter arbeidsgivers utstyr til straffbare handlinger eller for å beskytte virksomheten mot ”datainnbrudd” utenfra. Det antas at hovedregelen bør være samtykke, men at det også bør oppstilles et nødvendighetskrav for å imøtekomme arbeidsgivers behov.

Fjernsynsovervåking og, annen teknisk overvåking og kontroll

Et typisk trekk ved fjernsynsovervåking og annen teknisk overvåking er at den er vedvarende (se også pkt 10.3.10) og/eller at den muliggjør kontroll av et stort antall forskjellige forhold gjennom ett eller et meget begrenset antall medier. Begge momenter gjør at tiltaket virker særlig inngripende for den som blir kontrollert. Samtidig kan arbeidsgivere ha et berettiget behov for, i en viss utstrekning, å benytte slike kontrollformer. Etter omstendighetene kan dessuten arbeidstakernes interesser være sammenfallende med arbeidsgiverens. Dette kan være tilfellet ved fjernsynsovervåking der kontrollformålet eksempelvis kan være å beskytte virksomheten og den ansatte mot ran eller annen voldsutøvelse. Som ved andre tiltak av særlig inngripende karakter er det likevel særlig behov for å begrense rekkevidden av slik kontroll og bruk av personopplysninger i den forbindelse. Det kan for så vidt vises til personopplysningslovens omfattende og strenge generelle regler om fjernsynsovervåking.

Skisse til noen hovedregler

Noen grunnbegreper og vurderingstemaer

Innledning

Ved eventuell særlig regulering av kontroll og/eller behandling av arbeidstakeropplysninger i arbeidslivet utenfor personopplysningsloven, bør det undersøkes om reguleringen bør bygge på de samme begreper som i denne, eller om det vil være mulig og hensiktsmessig å etablere ”spesialtilpassede” begreper og avgrensninger.

Personopplysning

Personopplysningsloven § 2 nr. 1 har følgende legaldefinisjon :

”personopplysning: opplysninger eller vurderinger som kan knyttes til en enkeltperson”

Begrepet er helt sentralt i oppbyggingen av lovteksten. Selv om definisjonen av begrepet ”personopplysning” kan se enkel ut, reiser den i praksis mange vanskelige tolkningsspørsmål. Vanskelighetsgraden er så stor at det kan hevdes å være uhensiktsmessig å bruke definisjonen dersom målsettingen er å sikre etterlevelse av rettslige reguleringer vedrørende personvern og kontroll innen arbeidslivet. I en særlovgivning bør det kunne vurderes å innføre et avvikende, klarere og ”smalere” begrep, som samtidig ligger innenfor rammene av definisjonene i personopplysningsloven og personverndirektivet. Et slikt snevrere innhold kan fastsettes i en ny legaldefinisjon. For å skape akseptabel sammenheng mellom personopplysningsloven og personverndirektivet, bør den nye legaldefinisjonen være et underbegrep av ”personopplysning”, og må gis en avvikende betegnelse. Det synes nærliggende å bytte ut ”person” og erstatte dette med en betegnelse på den bestemte persongruppe som skal omfattes av reguleringen. Betegnelser som ”arbeidstakeropplysninger” eller ”opplysninger om arbeidstakere” kan således benyttes. Dette er en noe annen løsning enn den som er valgt i helseregisterloven, der ”helseopplysninger” betegner en gruppe av personopplysninger. Her knyttes altså begrepet til innholdet av opplysningene, i stedet for vedkommende persongruppe (jf. ”pasientopplysninger”).

Flere aspekter ved personopplysningsbegrepet skaper tolkingsproblemer som det kan være ønskelig å få redusert:

Definisjonen av ”personopplysning” inneholder både ”opplysninger” og ”vurderinger”. Skillet viser til ulike grader av vurderingspreg, slik at ”opplysninger” innebærer en mer objektiv betegnelse, mens ”vurderinger” gjelder subjektive oppfatninger. Arbeidsgiver vil imidlertid alltid ha et formål og en målsetting som i utgangspunktet kan komme til å farge de fleste opplysningstyper og gjøre dem vurderingspregede. Selv om alder, kjønn og ekteskapelig status er eksempler på opplysninger som normalt er objektive, kan det også her i ytterste fall være usikkerhet og vurderinger knyttet til dem (fødselsattest mangler, strid om gyldigheten av et tidligere ekteskap). I en fremtidig særregulering vedrørende kontroll mv i arbeidslivet synes det å være unødvendig å synliggjøre dette skillet. Etter underutvalgets oppfatning bør derfor kun begrepet ”opplysning” inngå i definisjonen.

”Personopplysning” gjelder enhver opplysning som direkte eller indirekte kan knyttes til en person. Dette gir en meget vid definisjon, som kan innebære at det er mange ledd mellom en person (identitet) og opplysningen som kan knyttes til denne personen. Slik må det i utgangspunktet også være i arbeidslivet. Sjåføren som blir avbildet i automatisk trafikkontroll og som blir identifisert via arbeidsgivers personaloversikt, er eksempel på slik indirekte identifikasjon. Et slikt forhold synes å være aktuelt for særlig klargjøring.

Begrepet ”personopplysning” i personopplysningsloven forutsetter en noenlunde sikker identifikasjon av personene. Dersom det for eksempel er opplysninger som kun er knyttet til et IP-nummer som gjelder en maskin som mange har tilgang til, kan usikkerheten være så stor at opplysningen ikke lenger regnes som ”personopplysning” og således faller utenfor personopplysningsloven. I den utstrekning opplysninger om arbeidstakere faktisk behandles, bør imidlertid ikke usikkerhet mht identifikasjon medføre at forholdet faller utenfor en eventuell lovregulering av kontroll mv i arbeidslivet. Dersom for eksempel alle ti ansatte i en bedrift kunne være den som har lastet ned musikkfiler på en felles maskin og usikkerheten derfor er stor, bør forholdet likevel komme inn under særreguleringen. Arbeidsgiver kan for eksempel være av den oppfatningen at det ”sikkert” er Pettersen som er synderen, fordi han er den eneste som liker sånn musikk.⁴⁶

Fotnote 46) I virkeligheten var det imidlertid personaldirektørens sønn som var synderen. Han var utplassert en uke i bedriften som ledd i ungdomsskolens bedriftsprosjekt!

Den siste usikkerheten knyttet til definisjonen av ”personopplysning” som skal nevnes her, er begrensningen knyttet til den ressursinnsats som skal til for å etablere sammenhengen mellom en person og en opplysning. Dersom denne innsatsen er uforholdsmessig stor, sett i relasjon til de personvernmessige implikasjonene, vil opplysningen kunne falle utenfor definisjonen i personopplysningsloven. Dette gjenspeiler også bruken av ”kan” i definisjonen. For å være en ”personopplysning” er det nok at opplysningen kan knyttes til en fysisk enkeltperson. Når det er en uforholdsmessig stor ressursinnsats som skal til, anser en imidlertid at denne muligheten ikke er så reell at den går inn under definisjonen. Det kan være grunn til å vurdere om ordet ”kan” bør utelates fra definisjonen, slik at det avgjørende vil være om opplysningen faktisk er forsøkt knyttet til en arbeidstaker for å bli omfattet av definisjonen. Arbeidsgiver kan på den måten selv avgjøre i hvilken grad han skal behandle opplysninger på en måte som innebærer at den spesielle lovreguleringen kommer til anvendelse.

I henhold til ovennevnte drøftelser, kan en legaldefinisjon i en særregulering antydes slik:

Arbeidstakeropplysning: opplysning som er knyttet til en arbeidstaker eller arbeidssøker, og som arbeidsgiver eller noen på hans vegne behandler på grunnlag av lovhjemmel, samtykke eller nødvendighetsgrunn, jf. §?.

Henvisningen til slutt i skissen gjelder referanse til det sted i en lovtekst der eventuelle nødvendighetsgrunner er angitt. Teksten i denne definisjonen er lengre enn den i personopplysningsloven § 2 nr. 1. Imidlertid er mange av de tolkingsspørsmålene som er knyttet til bestemmelsen i personopplysningsloven gitt en eksplisitt løsning i denne skissen til definisjon. Dette må antas å gi en langt enklere rettsanvendelse.

Behandling av personopplysning og lovens saklige virkeområde

Personopplysningsloven gjelder ”behandling av personopplysninger” som defineres som ”enhver bruk av personopplysninger” sammen med en eksemplifisering på bruk. Loven kommer således til anvendelse når behandlingen skjer ved hjelp av elektroniske hjelpemidler eller når opplysningene er eller skal inn i et personregister. I tillegg gjelder lovens kap VII om fjernsynsovervåking uansett om denne er elektronisk eller gjelder "personregistre", dersom opplysninger om enkeltpersoner kan gjenfinnes.

Etter underutvalgets mening kan det være nærliggende at en særregulering, i likhet med det svenske lovforslaget, skal gjelde all bruk av arbeidstakeropplysninger som er dokumentert i en eller annen form. Det vil i tilfelle ikke være avgjørende om bruken er elektronisk eller knyttet til et register, og det vil ikke være avgjørende hva slags medium eller uttrykksform opplysningene gjelder, så lenge den forefinnes i dokumentert form. Både skrift, bilde, lyd mv bør således være omfattet, alene eller i kombinasjon ⁴⁷

Fotnote 47) Dette er også tilfellet etter personopplysningsloven dersom opplysningene behandles elektronisk.

Underutvalget er videre av den oppfatning at kriteriene for behandling av arbeidstakeropplysninger bør gjelde selv om opplysningene ikke brukes direkte av arbeidsgiver selv. Dersom for eksempel et vaktselskap eller en samarbeidende virksomhet bruker arbeidstakeropplysninger, må samme kriterier gjelde for disse som for arbeidsgivers egen behandling. I personopplysningsloven betegner ”databehandler” den virksomhet eller person som på denne måten behandler personopplysninger på vegne av arbeidsgiver. Det kan være grunn til å ta høyde for at "databehandler" innen arbeidslivet etter omstendighetene kan være en ”hovedaktør”, nærmest på linje med arbeidsgiver. Gjennom den definisjon av "arbeidstakeropplysning" som skisseres ovenfor, vil loven umiddelbart også gjelde for slike aktører. Likevel kan det være behov for å regulere forholdet mellom arbeidsgiver og "databehandlere" særskilt. Underutvalget er imidlertid i tvil om "databehandler" er det mest hensiktsmessige begrep å benytte, bl.a fordi det er lite treffende for hva et vaktselskap eller en organisasjonskonsulent gjør (og oppfatter seg selv som).

Det synes imidlertid ikke hensiktsmessig la en særregulering gjelde arbeidstakeres bruk av opplysninger om andre arbeidstakere. For slike tilfelle bør personopplysningslovens bestemmelser gjelde på vanlig måte.

Personopplysningsloven har unntaksbestemmelser for bruk av opplysninger for ”rent personlige eller andre private formål” (§ 3 annet ledd), og for ulike formål som gjelder ytringsfriheten (§ 7). I en lovregulering om bruk av arbeidstakeropplysninger, er det neppe behov for lignende avgrensinger. Arbeidsgivers bruk av arbeidstakeropplysninger for rent private formål, er neppe praktisk dersom man legger til grunn definisjonen av arbeidstakeropplysninger slik den er skissert ovenfor.

Arbeidsgivers ytringsfrihet kan åpenbart ha betydning for hvor stramme grenser en kan sette for bruken av arbeidstakeropplysninger. Det dreier seg likevel om så spesielle situasjoner at det neppe er behov for å fastsette særbestemmelser om dette. Lovbestemmelsene må i stedet tolkes innskrenkende i samsvar med EMK art. 10.

Det geografiske virkeområdet

Hovedregelen etter personopplysningsloven § 4 er at loven gjelder for alle ”behandlingsansvarlige” (se nedenfor) som er etablert i Norge eller når den behandlingsansvarlige er etablert utenfor EØS-området og det blir benyttet hjelpemidler i Norge. Dersom en behandlingsansvarlig ikke er etablert i Norge, men i et annet EØS-land, gjelder vedkommende lands lov for behandling av personopplysninger som skjer i Norge.

Underutvalget mener at en særlov om arbeidsgivers bruk av arbeidstakeropplysninger og kontroll med arbeidstakere, bør gjelde for alle arbeidstakere som arbeider i Norge, på norsk kontinentalsokkel og eventuelt på norske skip. Alle arbeidstakere med arbeidssted i Norge vil således komme inn under loven, uavhengig av hvor arbeidsgiveren har hovedkontor.

Behandlingsansvarlig

”Behandlingsansvarlig” er i personopplysningsloven § 2 nr. 4 betegnelsen på den instans eller person som har bestemmelsesretten over formålet for behandling av personopplysninger, og som kan bestemme hvilke hjelpemidler som skal brukes. Det er den behandlingsansvarlige som primært har plikter etter loven, og begrepet er derfor av stor betydning. Behandlingsansvarlig vil normalt være styret eller eier av den virksomhet hvor arbeidstaker er ansatt. Denne plasseringen av ansvaret kan etter omstendighetene gjøre at det ikke fremstår noen konkret person å forholde seg til. For å avhjelpe dette, fremgår det av personopplysningsloven § 32 bokstav c at det i tilfelle meldeplikt til Datatilsynet etter § 31 skal oppgis hvem (hvilken person) som har det daglige ansvaret for den behandling av personopplysninger som meldingen gjelder. Det er grunn til å forstå loven slik at også i tilfelle av konsesjonsplikt og når det gjelder unntak fra melde- eller konsesjonsplikt, skal være utpekt en slik person. Dette fremgår imidlertid ikke klart av loven.

"Behandlingsansvarlig" er etter underutvalgets oppfatning et unødig vanskelig uttrykk som det ikke synes behov for å beholde i en særregulering for arbeidslivet. Det primære pliktsubjektet i en slik regulering bør være ”arbeidsgiver”. Arbeidsgiver bør forpliktes til å ha en representant som har det daglige ansvaret for alle IKT-systemer og rutiner ellers der arbeidstakeropplysninger inngår. På hver arbeidsplass (enten den er knyttet til et bestemt sted eller ikke), bør det med andre ord være en person som er arbeidsgivers representant og som kan ta i mot (og eventuelt videreformidle) henvendelser som gjelder bruk av arbeidstakeropplysninger. Vedkommende bør være kjent med de lokale forholdene, men det er sannsynligvis ikke realistisk å kreve "stedlige" representanter.

Tilsvarende bør rettighetssubjektene i en særregulering ikke benevnes ”den registrerte”, ”datasubjektet” eller lignende, men simpelthen ”arbeidstaker”, evt ”arbeidssøker”, sml. personopplysningsloven § 2 nr. 6 og definisjonen av ”registrert”.

Forholdet til grunnleggende krav om nødvendighet og samtykke

Etter personopplysningslovens og personverndirektivets system, må alle som behandler personopplysninger kunne vise til et rettslig grunnlag for behandlingen. Det må således enten foreligge en lovhjemmel, være gitt et samtykke fra den registrerte eller foreligge en nødvendighetsgrunn som anvist i loven selv. Et sentralt punkt ved fortolkningen av personopplysningsloven §§ 8 og 9 er i hvilke situasjoner det er nødvendig å innhente samtykke, og i hvilken grad den behandlingsansvarlige direkte kan vise til en av de nødvendighetsgrunner som loven gir anvisning på, se f. eks. § 8 bokstavene a – f. En særlovgivning for arbeidslivet må bygge på et tilsvarende krav til rettslig grunnlag for arbeidsgiveres rett til å behandle arbeidstakeropplysninger. Det er imidlertid behov for at lovteksten avklarer de tolkningsspørsmål som personopplysningsloven skaper på dette punktet.

Ovenfor skisseres en definisjon av ”arbeidstakeropplysning” som innbefatter elementet ”…og som arbeidsgiver eller noen på hans vegne behandler på grunnlag av lovhjemmel, samtykke eller nødvendighetsgrunn”. Dette legger til rette for at det på hver arbeidsplass eller innen bransjer gjennomføres drøftelser mellom partene i arbeidslivet der det fastsettes hvilke arbeidstakeropplysninger som etter partenes mening for det første er lovhjemlet og for det andre er nødvendig for vedkommende virksomhet/bransje. Arbeidsgiver pålegger for eksempel arbeidstakere å ha mobiltelefon i arbeidet og tillater privat bruk som arbeidstakeren selv skal betale for. Arbeidsgiver betinger seg imidlertid rett til å få tilsendt og gjennomgå spesifiserte regninger for å avgjøre hvilke samtaler som skal gå til fratrekk på lønnsutbetalingene. Arbeidstakerne mener på sin side at regningen bør sendes direkte til den enkelte arbeidstaker som gjennomgår spesifikasjonene og eventuelt stryker ut det de mener er private samtaler. Det vil i et slikt tilfelle foreligge to motstridende standpunkter til hva som er ”nødvendig” for arbeidsgiver å behandle av arbeidstakeropplysninger.

De fleste opplysningstyper som hevdes å være lovhjemlede eller nødvendige å behandle, vil det trolig kunne oppnås enighet om. Enkelte andre vil det være strid om, for eksempel fordi en lovhjemmel er uklar eller fordi det er uenighet om hva som er nødvendig for å inngå eller oppfylle en arbeidsavtale. Slike drøftinger kan konkludere i form av en protokoll der en dels fastslår hva partene er enige om, og dels redegjør for eventuell uenighet. Det vil da foreligge tre hovedsituasjoner:

1)	2)	3)
Enighet om at det foreligger lovhjemmel eller nødvendighetsgrunn	Uenighet om det foreligger lovhjemmel eller nødvendighetsgrunn	Enighet om at det ikke foreligger lovhjemmel eller nødvendighetsgrunn, og at samtykke derfor er nødvendig.

Situasjonene 1 og 3 er i utgangspunktet ikke konfliktsituasjoner, jf. dog det som sies nedenfor om krav til samtykke. Situasjon 2 er en situasjon med reell uenighet der spørsmålet om den lovlige adgangen til å behandle arbeidstakeropplysninger senere kan komme på spissen i en klage- eller kontrollsak for tilsynsmyndigheten, eventuelt som en erstatningssak (og i helt spesielle tilfeller som straffesak). Partenes protokollanførsler i spørsmålet om lovlighet vil derfor kunne ha direkte innvirkning på den rettslige bedømmelsen, særlig på spørsmålet om arbeidsgiver kan sies å ha opptrådt aktsomt. Generelt kan et system med drøftinger om det rettslige grunnlaget for å behandle arbeidstakeropplysninger også være positivt for å styrke saksforberedende funksjoner hos arbeidsgiver, og for å bidra til demokratiske og bevisstgjørende prosesser blant partene.

Særlig om samtykke

Det tas for gitt at arbeidsgivers bruk av opplysninger om arbeidstakere delvis vil være basert på samtykke. Underutvalget mener at kravet til frivillighet, uttrykkelighet og informasjon (jf. personopplysningsloven § 2 nr. 7) bør være gjenstand for særlig regulering innen arbeidslivet.

Det vanskeligste her er frivillighetskravet, der ”tvang” ikke nødvendigvis er individuell i vanlig forstand, men virker strukturelt. Med det menes at alle arbeidsgivere kan ha innrettet seg på samme måte, slik at det ikke er noen reell valgmulighet mellom arbeidsgivere. Konkurranse om arbeidskraft vil her kunne være en ”motkraft” og således føre til varierte arbeidsvilkår og valgfrihet. Det er imidlertid grunn til å tro at mange kontrolltiltak innen arbeidslivet er resultat av generelle internasjonale endringer i organisering og gjennomføring av arbeid, der det sjelden vil skje avvik i et omfang som betyr nevneverdig for valgfriheten.

Konsekvenser av å nekte å gi – eller trekke tilbake - særskilt samtykke

Etter personopplysningsloven kan et samtykke i utgangspunktet trekkes tilbake når som helst, med det resultat at den behandlingsansvarlige mister retten til å behandle opplysningene. I et arbeidsforhold vil spørsmålet om behandling av arbeidstakeropplysninger ofte være tett sammenvevd med utførelsen av arbeidet. Det er derfor ikke alltid uproblematisk å trekke tilbake samtykke til å behandle arbeidstakeropplysninger. Det bør muligens overveies om stillingsvernet her bør styrkes, slik at nekting/tilbaketrekking av samtykke til å behandle arbeidstakeropplysninger som ikke er nødvendig for utførelsen av arbeidet eller for å ivareta lovpålagte og andre sentrale formål i virksomheten, som hovedregel ikke skal kunne få negativ betydning for arbeidstakerne.

Arbeidstakeropplysninger som er integrert med andre vilkår

Ofte vil et samtykke til å behandle arbeidstakeropplysninger henge sammen med andre vilkår i en ansettelseskontrakt og/eller stillingsbeskrivelse. Det vil i slike tilfelle ikke alltid være en klart definert samtykkeerklæring vedrørende arbeidstakeropplysninger som kan trekkes tilbake (jf. ovenfor). Det kan reises spørsmål om en ansatt i slike tilfelle bør kunne bestride at han er bundet av deler av kontrakten/avtalen ved å vise til at det ikke forelå noen reell frivillighet (for eksempel fordi det kan påvises at det ikke finnes selgerjobber som vedkommende person er kvalifisert for, der slike krav ikke stilles).

Internkontroll og sikring av personopplysninger

Internkontrollbestemmelsen i personopplysningsloven § 14 pålegger den behandlingsansvarlige (arbeidsgiver) å etablere og holde ved like tiltak som er nødvendige for å oppfylle krav som er fastsatt i eller i medhold av personopplysningsloven. Kravet til internkontroll omfatter således loven selv, forskrifter i medhold av loven, og enkeltvedtak som er truffet av Datatilsynet eller Personvernnemnda (herunder konsesjonsvedtak). Personopplysningsloven §14 gir anvisning på en bred og vurderingspreget prosess der arbeidsgiver skal finne frem til hva som er ”nødvendig”. En mulig kilde til medbestemmelse og styrket personvern, oppstår dersom lovgiver etablerer en bredere deltakelse i denne internkontrollvurderingen enn det loven direkte forutsetter for så vidt gjelder arbeidstakeropplysninger.

Kravet til internkontroll har ingen parallell i direktivet, og foreskriver bare en aktivitet for å sikre at lovens øvrige (og dermed direktivets) krav blir etterlevet. En nærmere detaljering i nasjonal lovgivning av hvordan sentrale aktører bør gå frem for å sikre lovlydig praksis, må så vidt underutvalget kan forstå, være helt uproblematisk i forhold til forpliktelsene etter direktivet.

En tilpasning av § 14 til arbeidslivsområdet kan ha minst tre hovedelementer. For det første kan loven fastsette at arbeidsgiver skal gjennomføre internkontroll i samarbeid med tillitsvalgte. Tillitsvalgte kan være personvernombud, eller internkontrollarbeidet kan legges til arbeidsmiljøutvalgene eller et underutvalg av disse.

For det andre kan loven fastsette at partene ved uenighet om hva som er ”nødvendig” for å etterleve loven mv skal gjennomføre drøftinger. Det bør kreves at det føres protokoll fra drøftingene, og at uenighet om hva som er nødvendige tiltak protokollføres. Personopplysningsloven sier ingen ting om hva slags metodikk som skal følges for å vurdere behovet for tiltak. Den sier heller ingen ting om hvor ofte vurderinger skal gjennomføres, eller hvordan tiltak skal dokumenteres. En mulighet er gjennom særregulering å gjøre slike (og andre) prosessuelle spørsmål til gjenstand for drøftinger. Slike drøftinger vil i alle fall kunne ha betydning i tre henseender:

· Drøftinger vil kunne være bevisstgjørende for begge parter.

· Drøftinger med krav om protokollføring av uenighet vil kunne skjerpe aktsomheten, ettersom protokoller og dokumentasjon fra prosessen for øvrig, vil være relevant materiale ved vurdering av erstatningsansvar etter personopplysningsloven § 49. Det kan også tenkes at protokollførsler blir gjort direkte relevant for erstatningsansvaret, for eksempel fordi kravet til aktsomhet skjerpes dersom skaden har oppstått pga av forhold der arbeidstakersiden har protokollført krav om retting.

· Det kan innvendes at drøftingsplikt om internkontroll sannsynligvis vil innebære at internkontrollarbeidet blir mer omfattende og tidkrevende. I den sammenheng er det grunn til å fremheve at internkontrollen er knyttet til ”nødvendighet”, og at arbeidet både kan og skal tilpasses de konkrete behov for personvernbeskyttelse. For det andre vil drøftingsplikten bare gjelde arbeidstakeropplysninger. Det innebærer at store deler av personopplysningene ellers (kundeopplysninger mv), ikke vil være gjenstand for særskilt regulering.

Arbeidet med informasjonssikkerhet etter personopplysningsloven § 13 skal være omfattet av virksomhetens internkontroll. Sikring av konfidensialitet, integritet og tilgjengelighet, er imidlertid så sentralt at det kan være grunn til å regulere dette særskilt, dvs eksplisitt gjøre spørsmål om sikring av arbeidstakeropplysninger til gjenstand for drøftinger.

Innsyn mv

Kontroll kan ses som arbeidsgivers ”innsyn” i arbeidstakeres forhold. Arbeidstakeres innsyn kan tilsvarende ses som ”motkontroll”, dvs som en mulighet for arbeidstakere til å ettergå arbeidsgiver og kontrollere at denne ikke har gått ut over sin kompetanse til å behandle opplysninger om arbeidstakere mv. Underutvalget antar at styrken i arbeidstakeres innsynsrettigheter vil kunne være av stor betydning for i hvilken grad arbeidstakere vil akseptere kontrolltiltaket. Det er derfor grunn til å spørre om arbeidstakeres innsynsrettigheter til arbeidstakeropplysninger bør styrkes i forhold til de rettigheter som følger av personopplysningsloven § 18.

Styrkede innsynsrettigheter vil eventuelt gjelde arbeidstakeropplysninger, og ikke andre personopplysninger i virksomheten (dvs ikke om kunder, eiere o.a.). For det første kan en tenke seg at området for innsyn kan utvides i forhold til dagens generelle regler i § 18. Disse bestemmelsene er omfattende og trolig langt på vei tilfredsstillende for arbeidstakerne. Det kan imidlertid være grunn til å bedre situasjonen ved mer eksplisitt å legge til rette for "kontroll av kontrolløren". Det bør således vurderes å pålegge arbeidsgiver å føre en fortegnelse over alle systematiske kontrolltiltak som er rettet mot arbeidstakere. Videre bør arbeidstakere få en eksplisitt rett til å få innsyn i slike opplysninger. En slik rett bør ikke være unntaksfri, og det kan for eksempel være behov for unntak dersom innsynet vil motvirke kontrolltiltaket. Etter underutvalgets mening, er det likevel grunn til å tro at informasjon om kontrolltiltak som oftest vil ha en preventiv effekt. Faren for omgåelse, og dermed en svekkelse av kontrolltiltak, vil alltid måtte inngå i arbeidsgivers risikovurdering, og mottiltak for å hindre omgåelse av arbeidsgivers kontroll vil alltid måtte vurderes iverksatt.

For det andre kan en tenke seg at det blir etablert en plikt for arbeidsgiver til å utarbeide statistikk og andre sammenstilte opplysninger som viser et samlet bilde av kontrolltiltakene. Arbeidsgiver kan med andre ord pålegges å gjøre visse hovedresultater fra kontrollrutiner allment kjent blant virksomhetens ansatte.

For det tredje kan en tenke seg innsynsrettighetene styrket ved å endre kriteriene for å få tilgang til de aktuelle opplysningene. Etter personopplysningsloven § 18 er innsynsrett betinget av at dette begjæres av den innsynsberettigede. En mulighet er at alle arbeidstakere skal ha tilgang til opplysninger om dem selv uten slik begjæring. Dette kan for eksempel skje ved at det opprettes en ”konto” for hver arbeidstaker, og at de respektive personer skal ha tilgang til opplysningene på ”deres” konto. Teknisk kan dette la seg gjøre ved å bruke ”nettbankteknologi”, dvs med forholdsvis strenge beskyttelsesrutiner. Forutsetningene må være at alle opplysninger som er registrert om en arbeidstaker i rutiner som arbeidsgiver anvender for kontrollformål, normalt må være tilgjengelig for de arbeidstakere det gjelder. Heller ikke en slik rettighet kan være unntaksfri, for eksempel bør en unnta opplysninger som gjelder etterforskning av en arbeidstaker, jf. personopplysningsloven § 23 bokstav b.

En innvending som kan reises mot å lovfeste de plikter som her er skissert, er at de kan virke (unødig) ressurskrevende å etterleve, særlig for mindre virksomheter. Det er imidlertid grunn til å forutsette en viss grad av forholdsmessighet mellom kontrolltiltak på den ene side og innsyns-/åpenhetstiltak knyttet til kontrollen på den annen side. En mulighet er å angi at tiltakene for å skape innsynsrettigheter skal stå i et rimelig forhold til den ressursinnsats som selve kontrolltiltaket krever, og at spørsmålet skal være gjenstand for forhandlinger. Dersom partene ikke når enighet, kan spørsmålet for eksempel avgjøres av Datatilsynet eller Arbeidstilsynet.

Etter det underutvalget kan forstå, oppstår det ingen konflikt mellom nevnte muligheter for regler og bestemmelsene i personverndirektivet. Forutsetningen er at reglene gir arbeidstakere minst like godt vern som etter de generelle reglene, noe de forslagene som er beskrevet ovenfor åpenbart vil innebære. Det er ikke anledning til å vedta særregler som i praksis kan gi dårligere innsynsrettigheter enn etter de alminnelige bestemmelsene i personopplysningsloven § 18. De bedringer i innsynet som måtte følge av interne drøftinger på den enkelte arbeidsplass, vil normalt innebære en fleksibel tilpasning til praktiske behov.

Saksbehandlingsregler og tilsyn

Innledning

En lovregulering av adgangen til kontroll og behandling av arbeidstakeropplysninger i arbeidslivet bør også inkludere særlige regler om saksbehandlingen. Det bør her vurderes å ”kodifisere” de vel utprøvde saksbehandlingsreglene som er fastsatt i de særlige avtalene om kontroll i arbeidslivet, f. eks. etter mønster av Tilleggsavtale V til Hovedavtalen mellom LO og NHO, se punkt 5.3.3.

Tilsyn og konfliktløsning

En helt avgjørende del av et fremtidig regime som kan ivareta arbeidstakeres personvern og legge til rette for akseptabel kontroll og styring fra arbeidsgiver, er det tilsynssystem som kan bli etablert for å sikre at arbeidsgiver etterlever sine plikter og som legger til rette for realisering av arbeidstakeres rettigheter. I det følgende vil underutvalget gi noen korte vurderinger av muligheter for tilsyn og kontroll med arbeidsgivers behandling av arbeidstakeropplysninger. Underutvalget vurderer ikke alle enkeltheter i slike tilsynsordninger, og kommer således ikke inn på viktige momenter som tilsynsmyndighetenes adgang til bygninger, informasjonssystemer, tilgang til assistanse, taushetsplikter, adgang til å ilegge tvangsmulkt mv. Disse og andre spørsmål er det imidlertid nødvendig å komme tilbake til i en eventuell senere lovutredning.

Datatilsynets og andre tilsynsmyndigheters rolle

I følge personopplysningsloven er Datatilsynet den myndighet som skal føre det daglige tilsynet med at denne loven med forskrifter blir etterlevet, se § 42 nr. 3. Datatilsynet skal også behandle enkeltsaker i første instans (herunder konsesjoner), og kan som ledd i gjennomføringen av sine vedtak i enkelte tilfelle ilegge tvangsmulkt (se §§ 42 nr. 2 og 46, jf. § 47). Personopplysningsloven angir også en lang rekke andre oppgaver som Datatilsynet skal utføre, herunder vedrørende spørsmål om informasjon, veiledning, rollen som "vaktbikkje", premissleverandør, høringsinstans mv, se § 42.

I tillegg til å ha oppgaver etter personopplysningsloven har Datatilsynet oppgaver etter flere andre lover, herunder helsepersonelloven, helseregisterloven, lov om Schengen informasjonssystem og lov om elektronisk signatur. Det er grunn til å tro at Datatilsynet gradvis vil få ytterligere oppgaver i henhold til særlovgivning. Dette skyldes særlig den økte oppmerksomhet rundt spørsmål om behandling av personopplysninger, og behov for særregulering på andre områder, lignende de vi her har argumentert for på arbeidslivsområdet.

Datatilsynet har i dag 30 ansatte, herunder 5 teknologer, 4 informasjonsfaglig ansatte og 14 jurister. Da personopplysningsloven ble vedtatt var det en hovedmålsetting å frigjøre mer tid for Datatilsynet, slik at tilsynsorganet i langt større grad enn tidligere kunne ha kapasitet til å kontrollere at lovgivningen, konsesjonsvilkår mv faktisk ble etterlevet. Dette var en hovedårsak til at konsesjonsplikten ble vesentlig redusert ift personregisterloven, og til at meldepliktordningen ikke ble forutsatt å innebære faste krav til saksbehandling fra Datatilsynets side.

Etter underutvalgets syn er det grunn til å peke på at Datatilsynet må antas å ha begrenset kapasitet og i fremtiden trolig fortsatt ikke vil være i stand til fullt ut å utføre de tilsyns- og informasjonsoppgaver som bør kreves. Det er også grunn til å anta at den faglige kompetansen i Datatilsynet vil være for begrenset ift de særlige behov som eksisterer innen arbeidslivet. Som denne utredningen på flere punkter har vist, kan ikke personvernrettslige spørsmålene innen arbeidslivet ses isolert fra de arbeidsrettslige spørsmålene. Det er derfor avgjørende å etablere tilsynsordninger der en sikrer tilstrekkelig kompetanse innen begge felt. En mulighet kan selvsagt være å gjøre Datatilsynet i stand til å spesialisere seg innen det arbeidsrettslige feltet. Datatilsynet har imidlertid allerede i dag meget vide oppgaver, som omfatter flere felt der det kreves spesialisert fagkunnskap i kombinasjon med personvernfaglig kompetanse.

Datatilsynets oppgaver er knyttet til ”behandling av personopplysninger”, mens Arbeidstilsynets oppgave er knyttet til ivaretakelsen av ansattes arbeidsmiljø. Etter underutvalgets syn vil det verken være mulig eller ønskelig å konstruere et strengt skille mellom de to myndighetenes arbeidsområder. Det er åpenbart at personvernet på en arbeidsplass kan ha stor betydning for arbeidsmiljøet, samtidig som ikke alle personvernspørsmål kan sies å være knyttet til behandling av personopplysninger.

Innen arbeidslivet bør Arbeidstilsynet gis en rolle i arbeidet med å vareta personvern og å forhindre urimelig kontroll av arbeidstakere. I den grad arbeidsgivere behandler helseopplysninger, bør det også vurderes å gi Helsetilsynet en slik rolle. Underutvalget går med andre ord inn for en tilsynsordning som er basert på en arbeidsdeling og et samarbeid mellom flere involverte tilsynsmyndigheter, i det minste mellom Datatilsynet og Arbeidstilsynet. Underutvalget ser det dessuten som avgjørende at de organisasjonsmessige og prosessuelle løsningene for dette samarbeidet er slik at det innebærer en bred og forsvarlig saksbehandling både av enkeltsaker og av saker av generell karakter (forskrifter mv).

Personverndirektivets art. 28 nr. 1 stiller krav om at tilsynsmyndigheten etter direktivet fullt ut skal være uavhengig av nasjonale myndigheter. Direktivet gir imidlertid rom for at det er flere myndigheter innenfor dette området. Kravet til uavhengighet innebærer for det første at verken departementer eller regjeringen kan instruere de tilsynsmyndigheter som arbeider med saker i henhold til direktivet. Dersom Arbeidstilsynet (eventuelt Helsetilsynet) skal treffe avgjørelser i saker som er omfattet av direktivets bestemmelser, må denne saksbehandlingen med andre ord skje i full uavhengighet. En ytterligere effekt er at klageinstansen må være uavhengig på samme måte. Etter arbeidsmiljøloven kan avgjørelser som er truffet av de lokale arbeidstilsyn klages til Direktoratet for arbeidstilsynet, og vedtak der Direktoratet for arbeidstilsynet er førsteinstans kan klages videre til departementet (se aml § 77 nr. 6). Ingen av disse klageordningene vil være i overensstemmelse med personverndirektivet. Det betyr at i saker der arbeidstilsynsmyndighetene eventuelt treffer vedtak innen personverndirektivets område, må det gjøres bruk av en annen klageordning enn dagens.

En mulig løsning er å oppnevne en ny uavhengig klageinstans. Etter underutvalgets syn vil det imidlertid være åpenbart problematisk å ha to uavhengige klageinstanser innen personvernområdet. En annen mulighet som underutvalget spesielt vil fremheve, er å gi Personvernnemnda kompetanse til å avgjøre alle saker som ligger innenfor personverndirektivets område, uavhengig av om vedtak i første instans treffes av Datatilsynet, arbeidstilsynsmyndighetene eller Helsetilsynet. Det bør således vurderes å gjøre Personvernnemnda til klageinstans også i henhold til særlovgivning innen arbeidslivet. Nemnda tilfredsstiller personverndirektivets krav til uavhengighet, og består av 7 medlemmer, hvorav leder og nestleder er oppnevnt av Stortinget, se personopplysningesloven § 43. Representantene i Nemnda kan eventuelt oppnevnes slik at det sikres en tilfredsstillende spredning av kompetansen. Det bør også utredes nærmere om partene i arbeidslivet kan bli representert i Personvernnemnda, eventuelt i kombinasjon med et økt antall nemndsmedlemmer.

Personvernombud og egenkontroll

Personvernombud etter personopplysningsloven

Forskriften til personopplysningsloven forutsetter at det kan opprettes ”personvernombud”, se personopplysningsloven § 7-12. Personvernombudet er ikke omtalt i loven, men det følger av personverndirektivet art. 18 nr. 2 annet strekpunkt at slike ordninger kan etableres, jf. ot. prp. nr. 92 (1998-99) s 57. I forskriftene til loven er personvernombud nevnt i samband med regler for unntak fra meldeplikt etter personopplysningsloven § 31 første ledd. Forskriften fastsetter at Datatilsynet kan gi unntak fra meldeplikten dersom den behandlingsansvarlige (arbeidsgiver) utpeker et uavhengig personvernombud. I tillegg til det som fremgår av selve forskriftsteksten, er enkelte punkter nærmere belyst i forarbeidene til forskriften i departementets kommentarer til § 7-12.

Personvernombudet skal være en fysisk person som skal være uavhengig av den behandlingsansvarlige, det vil i vår sammenheng si av den arbeidsgiver som har bestemmelsesrett over behandlingen av personopplysninger. Kravet til uavhengighet er formodentlig ikke til hinder for at det foreligger et ansettelsesforhold. Poenget er at arbeidsgiver ikke skal kunne instruere ombudet, verken generelt eller i konkrete saker. Forskriften forutsetter også at arbeidsgiver (den behandlingsansvarlige) utpeker personvernombudet. Dette kan synes å stå i et noe anstrengt forhold til kravet om uavhengighet, og det er neppe i tråd med forskriften å peke ut en person som er spesielt lojal mot arbeidsgiver. Uansett er det neppe i strid med forskriften at arbeidsgiver delegerer kompetansen til å peke ut en ombudsperson, for eksempel i henhold til avtale med de ansattes organisasjoner.

Forskriften forutsetter at Datatilsynet gir sitt samtykke og konkret godkjenner en ombudsperson. Forarbeidene til forskriften forutsetter at Datatilsynet kan stille vilkår for å gi sin godkjenning og kreve at bestemte opplysninger skal overføres Datatilsynet. Videre forutsettes det at Datatilsynet kan trekke sitt samtykke tilbake. En godkjenning av et personvernombud må imidlertid regnes som et enkeltvedtak der forvaltningslovens omgjøringsbestemmelser kommer til anvendelse. Datatilsynet står med andre ord ikke fritt med hensyn til å gjøre om sitt vedtak om å gi samtykke.

I forskriften er det bestemt at personvernombudet skal

sikre at den behandlingsansvarlige følger personopplysningsloven med forskrifter og
føre en oversikt over de opplysninger som normalt inngår i en melding til Datatilsynet etter personopplysningsloven § 32.

Første kulepunkt må trolig forstås på samme måte som internkontrollbestemmelsen i personopplysningsloven § 14, dvs slik at kontrollen også må omfatte etterlevelse av eventuelle konsesjoner og andre enkeltvedtak som er fattet av Datatilsynet eller Personvernnemnda.

På en måte kan personvernombudet ses som Datatilsynets ”forlengede arm”. Det er imidlertid ingen tvil om at slike ombud ikke på noen måte er underlagt tilsynsmyndigheten, og må kunne opptre uavhengig av dette, innenfor det rammene av lov, forskrift mv. gir rom for. Innenfor de skjønnsmessige rammer som lov og forskrift stiller opp, må det således være mulig for personvernombudet å foreta vurderinger som avviker fra Datatilsynets, uten at tilsynet av den grunn kan omgjøre vedtaket om å godkjenne ombudet.

Forholdet til arbeidsmiljøutvalg og verneombud

Som det går frem av fremstillingen ovenfor, er ordningen med personvernombud forholdsvis åpen og ubefestet. Innen arbeidslivet er det derfor meget nærliggende å se nærmere på muligheten for å innpasse, utbygge og konkretisere en slik ordning innenfor rammene av etablerte medbestemmelsesordninger. Særlig kan det være aktuelt å se nærmere på muligheten for å innpasse funksjonen som personvernombud med de lovfestede ordningene med arbeidsmiljøutvalg og verneombud. En mulig modell kan være at verneombudet også fungerer som personvernombud i små virksomheter, og at det skal være et eget personvernombud i større virksomheter. Oppgaver etter en revidert lovgivning vedrørende kontroll, kan dels legges til verneombudet og dels til arbeidsmiljøutvalgene, eventuelt særlige underutvalg. Arbeidsmiljøutvalget kan tenkes å få tillagt vedtakskompetanse i enkelte særlige spørsmål, for eksempel slik at utvalget skal godkjenne tiltak og dokumentasjon av virksomhetens rutiner for informasjonssikkerhet og internkontroll etter personopplysningsloven §§ 13 og 14. Også spørsmål som i dag ikke er lovregulert i henhold til personverndirektivet, for eksempel vedrørende medvirkning ved utvikling av informasjonssystemer, kan tenkes lagt til utvalget.

En åpenbar fordel ved å bruke eksisterende lovfestede ordninger er at det vil være lettere å få frem sammenhengene mellom det tradisjonelle arbeidet med arbeidsmiljø og spørsmål vedrørende personopplysningsvern. Spørsmål som gjelder personopplysningsvernet er likevel så spesielt og omfattende (og krever forholdsvis stor teknologiinnsikt), at det vil være ønskelig med noen grad av spesialisering i større virksomheter, jf. behovet for egne personvernombud. Heller ikke disse bør imidlertid bare arbeide med IKT-relaterte spørsmål, men det er nærliggende at slike spørsmål i vesentlig grad vil prege deres virke.

Avsluttende vurderinger - Tilsyn

Uavhengig av hvilken konkret tilsynsordning en kommer frem til, bør en tilsynsordning vedrørende ivaretakelse av personvern innen arbeidslivet etter underutvalgets mening være basert på to supplerende prinsipper; nemlig ”nærhetsprinsippet” og ”prinsippet om likhet og minste vernenivå”. Disse to prinsippene er igjen knyttet til hvert sitt styringsnivå. Sammen representerer de en kombinasjon av lokal medbestemmelse og statlig styring.

For det første er det grunn til å fremheve at diskusjonen om personvern og arbeidsgivers kontroll med arbeidstakere, i stor grad bør føres i virksomhetene selv, i en dialog mellom partene i arbeidslivet. Det er særlig to hensyn som begrunner dette ”nærhetsprinsippet”:

For det første er partene i den enkelte virksomhet den som ofte:

kjenner begrunnelser for de konkrete kontrolltiltakene best,
opplever følgene av kontrollen mest direkte,
har gode forutsetninger for å identifisere hensyn som taler for å dempe eller fjerne kontrolltiltak,
eventuelt kan foreslå alternative løsninger ved dempe kontrollbehovet eller å foreslå alternative, mindre belastende kontrollmåter.

Dette hensynet kan kalles ”utredningshensynet”, dvs hensynet til at flest mulig aspekter og argumenter knyttet til kontroll i arbeidslivet blir belyst.

For det andre er nærhetsprinsippet dessuten begrunnet i et demokratihensyn:

Prinsippet innebærer at arbeidstakerne får større grad av innvirkning på sin egen situasjon enn om hensynet til personvern kun blir ivaretatt gjennom statens lover. Ikke bare forhandlingsrett, men også drøftingsrett i personvern- og kontrollspørsmål, må etter underutvalgets syn anses å gi betydningsfulle demokratigevinster.

Nærhetsprinsippet og arbeidstakeres involvering og engasjement i kontrollstrategier og ivaretakelse av personvern på arbeidsplassene, vil kunne innebære en generell skolering og oppmerksomhet mot kontrollspørsmålene. Kunnskaper fra arbeidsplassen vil videre kunne danne grunnlaget for et sterkere engasjement i relevante politiske spørsmål også utenfor arbeidsplassen.

For det andre er det grunn til å trekke frem prinsippet om likhet og minste vernenivå. Samtidig som underutvalget peker på betydning av at nærhetsprinsippet blir lagt til grunn ved en fremtidig regulering av arbeidsgiveres kontroll med ansatte, minner utvalget på at dette skal skje innenfor rammene av den felles europeiske reguleringen på området; personverndirektivet (46/95/EU). Direktivet og den norske personopplysningsloven utgjør således både en basis og en ramme som en særlovgivning for arbeidslivet må forholde seg til. Underutvalget ønsker å fremheve betydningen av at nærhetsprinsippet blir kombinert med en særregulering som inneholder klare grenser for hva som kan aksepteres innenfor den enkelte virksomhet. For eksempel kan perioder med overskudd på arbeidskraft gjøre at arbeidstakere kan se seg tjent med å godta kontrollordninger som de ellers ikke ville ha akseptert, men som det vil være vanskelig å reversere senere. Personverndirektivet må representere det minimumsvern som partene i arbeidslivet ikke kan forhandle bort.

Det er dessuten av vesentlig betydning å ha nasjonale tilsyns- og kontrollorganer som gjennom innsyn i og dialog med den enkelte virksomhet (og deres personvernombud) kan håndheve grensene for handlefriheten på den enkelte arbeidsplass, og ta generelle initiativ når de registrerer uønskede utviklingstrekk.

Nærhetsprinsippet i kombinasjon med prinsippet om likhet og minste vernenivå, vil etter underutvalgets syn ha tre viktige effekter:

For det første vil det gi en regulering som i større grad er knyttet til de konkrete forhold på hver arbeidsplass, og som således vil være enklere å skaffe kunnskap om.
For det andre vil den gi en mer fleksibel regulering, som kan gi bedre respons på lokale forhold i virksomhetene.
For det tredje vil den gi mulighet for et høyere vernenivå enn det som ville ha fulgt av å praktisere personopplysningslovens alminnelige bestemmelser på arbeidslivet.

Avslutning

Underutvalget tilrår at Arbeidslivslovutvalget viderefører arbeidet med det tema som er behandlet i denne rapport med sikte på å foreslå en lovregulering av de sentrale vilkår for kontrolltiltak i arbeidslivet, særlig hva gjelder adgangen til å behandle personopplysninger om ansatte i forbindelse med ulike former for kontrolltiltak og krav til saksbehandling, innsyn, tvisteløsning og tilsyn. Underutvalget håper at beskrivelsene og drøftelsene i rapporten vil kunne være et bidrag i det videre arbeidet og en rettspolitisk ansats for de avgjørelser Arbeidslivslovutvalget skal ta på dette området. Underutvalgets medlemmer står selvsagt til disposisjon dersom det er spørsmål til innholdet i rapporten.

Vedlegg 1 Europa-parlamentets og rådets direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR -

under henvisning til traktaten om oprettelse af Det Europæiske Fællesskab, særlig artikel 100 A,
under henvisning til forslag fra Kommissionen,
under henvisning til udtalelse fra Det Økonomiske og Sociale Udvalg,
i henhold til fremgangsmåden i traktatens artikel 189 B, stk. 3, og ud fra følgende betragtninger:

Fællesskabets målsætninger, der er nedfældet i traktaten, som ændret ved traktaten om Den Europæiske Union, er at gennemføre en stadig snævrere sammenslutning mellem de europæiske folk, at skabe snævrere forbindelser mellem de stater, som det forener, gennem fælles handling at sikre økonomiske og sociale fremskridt ved at fjerne de skranker, der deler Europa, stadig at forbedre dets folks levevilkår, at bevare og styrke freden og friheden samt at fremme demokratiet på grundlag af de grundlæggende rettigheder, der er anerkendt i medlemsstaternes forfatninger og love, samt i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder;
databehandlingssystemer er til for menneskets skyld; de skal være i overensstemmelse med de grundlæggende rettigheder og frihedsrettigheder, der gælder for fysiske personer, uanset statsborgerskab og bopæl, herunder retten til privatlivets fred, og bidrage til at sikre økonomiske og sociale fremskridt og til at fremme samhandelen og det enkelte menneskes velfærd;
det indre markeds oprettelse og funktion, som i henhold til traktatens artikel 7 A indebærer fri bevægelighed for varer, personer, tjenesteytdelser og kapital, forudsætter ikke blot, at personoplysninger kan cirkulere frit fra én medlemsstat til en anden, men også, at det enkelte menneskes grundlæggende rettigheder beskyttes;
personoplysninger benyttes stadigt hyppigere inden for de forskellige områder at det økonomiske liv og samfundslivet i Fællesskabet; fremskridtene på det informationsteknologiske område gør det betydeligt nemmere at behandle og udveksle sådanne oplysninger;
den økonomiske og sociale integration, der er en følge af det indre markeds oprettelse og funktion efter traktatens artikel 7 A, vil uvægerligt medføre en kraftig vækst i strømmen af personoplysninger på tværs af landegrænserne mellem alle aktører i medlemsstaternes økonomiske liv og samfundslivet, både inden for den private og den offentlige sektor; udvekslingen af personoplysninger mellom virksomheder i de forskellige medlemsstater kan ikke undgå at tage til omfang; medlemsstaternes myndigheder vil som led i gennemførelsen af fællesskabsretten skulle samarbejde og udveksle personoplysninger indbyrdes for at kunne varetage deres opgaver og udføre hverv på vegne af en anden medlemsstats myndighed inden for det område uden indre grænser, som det indre marked indebærer;
udbygningen af det teknisk-videnskabelige samarbejde og den koordinerede etablering af nye telekommunikationsnet i Fællesskabet gør det endvidere nødvendigt og nemmere at udveksle personoplysninger på tværs af landegrænserne;
forskellen i den beskyttelse af personers rettigheder og frihedsrettigheder, og navnlig retten til privatlivets fred, som de enkelte medlemsstater yder i forbindelse med behandling af personoplysninger, kan forhindre, at oplysninger af denne art videregives fra én medlemsstats område til en anden medlemsstats område; denne forskel kan derved udgøre en hindring for udøvelsen af en række økonomiske aktiviteter på fællesskabsplan, virke konkurrencefordrejende og hindre at de nationale myndigheder i at udføre de opgaver, som påhviler dem i henhold til fællesskabsretten; denne forskel i beskyttelsesniveauet hidrører fra forskellene i de nationale love og administrative bestemmelser;
for at hindringerne for udveksling af personoplysninger kan fjernes, skal beskyttelsen af det enkelte menneskes rettigheder og fridhedsrettigheder i forbindelse med behanling af sådanne oplysninger være ensartet i alle medlemsstaterne; denne målsætning er af grundlæggende betydning for det indre marked, men kan ikke realiseres af medlemsstaterne alene, navnlig på grund af omfanget af de nuværende forskelle mellem de nationale love på området, og fordi det er nødvendigt at samordne medlemsstaternes lovgivninger, så udveksling af personoplysninger på tværs af landegrænserne underlægges et samlet regelsæt, der er i overensstemmelse med målsætningen om det indre marked som fastsat i traktatens artikel 7 A; det er derfor nødvendigt, at Fællesskabet tager skridt til at gennemføre en indbyrdes tilnærmelse af lovgivningerne;
med den ensartede beskyttelse, som vil følge af den indbyrdes tilnærmelse af de nationale lovgivninger, vil medlemsstaterne ikke længere under henvisning til det enkelte menneskes rettigheder og frihedsrettigheder, navnlig retten til privatlivets fred, kunne lægge hindringer i vejen for den frie udveksling af personoplysninger medlemsstaterne imellem; medlemsstaterne vil få en manøvremargen, som erhvervslivet og arbejdsmarkedets parter kan benytte sig af i forbindelse med direktivets gennemførelse; de vil således i deres nationale lovgivning kunne fastsætte de generelle betingelser for lovlig behandling af personoplysninger; medlemsstaterne skal derved tilsigte en forbedring af den beskyttelse, som deres nuværende lovgivning sikrer; indenfor rammerne af denne manøvremargen og i overensstemmelse med fællesskabsretten kan der forekomme forskelle i gennemførelsen af direktivet, og dette kan få konsekvenser for udvekslingen af oplysninger såvel inden for den enkelte medlemsstat som på fællesskabsplan;
medlemsstaternes lovgivning om behandling af personoplysninger skal sikre overholdelsen af de grundlæggende rettigheder og frihedsrettigheder, navnlig den ret til privatlivets fred, der er fastslået i artikel 8 i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder og i fællesskabsrettens generelle principper; af denne grund må en indbyrdes tilnærmelse af lovgivningerne ikke medføre en forringelse af den beskyttelse, disse yder, men skal tværtimod have til formål at sikre et højt beskyttelsesniveau overalt i Fællesskabet;
dette direktivs princip om beskyttelse af personers rettigheder og frihedsrettigheder, og navnlig retten til privatlivets fred, er en præcisering og udvidelse af principperne i Europarådets konvention af 28. Januar 1981 om beskyttelse af det enkelte menneske i forbindelse med databehandling af personoplysninger;
principperne om beskyttelse skal finde anvendelse på enhver behandling af personoplysninger, foretaget af en person, hvis aktiviteter falder ind under fællesskabsrettens anvendelsesområde; en fysisk persons behandling af oplysninger som led i rent personlige eller familiemæssige aktiviteter som f. eks.. korrespondance og føring af en adressefortegnelse, bør dog ikke være omfattet;
aktiviteterne i afsnit V og VI i traktaten om Den Europæiske Union vedrøerende offentlig sikkerhed, forsvar, statens sikkerhed og statens aktiviteter på det strafferetlige område hører ikke under fællesskabsrettens anvendelsesområde, uden at dette berører de forpligtelser, der påhviler medlemsstaterne i henhold til traktatens artikel 56, stk. 2, artikel 57 og artikel 100 A; den behandling af personoplysninger, som kræves for at beskytte statens økonomiske interesser, er ikke omfattet af dette direktiv, når behandlingen er forbundet med spørgsmål vedrørende statens sikkerhed;
der gøres for tiden betydelige fremskridt inden for informationssamfundet med hensyn til udvikling af metoder til at registrere, udsende, bearbejde, lagre, opbevare og videresende oplysninger om fysiske personer via lyd og billede, og det er derfor nødvendigt, at dette direktiv finder anvendelse på behandling af sådanne oplysninger;
behandling af sådanne oplysninger er kun omfattet af dette direktiv, hvis den foregår ved hjælp af elektronisk databehandling, eller hvis de pågældende oplysninger er indeholdt i eller skal indgå i et register, der er struktureret efter bestemte kriterier vedrørende personerne for at lette adgangen til de pågjældende personoplysninger;
behandling af lyd- og billeddata, som f.eks. I forbindelse med video-overvågning, er ikke omfattet af dette direktiv, hvis den iværksettes med henblik på den offentlige sikkerhed, forsvar, statens sikkerhed eller statens aktiviteter på det strafferetslige område eller andre aktiviteter, der ikke falder ind under fællesskabsretten;
med hensyn til behandling af lyd- og billeddata, der finder sted i journalistisk øjemed eller med henblik på kunstnerisk eller litterær virksomhed, navnlig på det audio-visuelle område, finder direktivets principper begrænset anvendelse i henhold til bestemmelserne i artikel 9;
for at forhindre, at en person unddrages den beskyttelse, der sikres ved dette direktiv, skal enhver behandling af personoplysninger inden for Fællesskabet være i overensstemmelse med lovgivningen i en af medlemsstaterne; med henblikk herpå bør enhver behandling af oplysninger være underkastet lovgivningen i den medlemsstat, hvor den registeransvarlige, under hvis myndighed behandlingen udføres, er etableret;
ved etablering på en medlemsstats område forstås faktisk udøvelse af aktiviteter gennem en mere permanent struktur; den pågældende strukturs retlige form, hvad enten det blot er en filial eller et datterselskab med status som juridisk person, har ikke afgørende betydning i denne forbindelse; en registeransvarlig, som er etableret på flere medlemsstaters område, især i form af datterselskaber, skal, navnlig for at undgå omgåelse, sikre sig, at hver enkelt struktur opfylder kravene i den gældende nationale lovgivning;
den omstændighed, at den registeransvarlige er etableret i et tredjeland, må ikke hindre personer i at nyde den beskyttelse, der fastsættes ved dette direktiv; den pågældende behandling bør i så fald underkastes lovgivningen i den medlemsstat, hvor de hjælpemidler, der benyttes til behandlingen, befinder sig, og der bør stilles garanti for, at de rettigheder og forpligtelser, der følger af dette direktiv, også oveholdes;
dette direktiv berører ikke de territorialbestemmelser, der gælder i straffesager;
medlemsstaterne fastsætter i deres lovgivning eller i de bestemmelser i øvrigt, der vedtages til gennemførelse af dette direktiv, nærmere bestemmelser om, på hvilke generelle betingelser en behandling er lovlig; især artikkel 5 giver i forbindelse med artikel 7 og 8 medlemsstaterne mulighed for uafhængigt af de generelle regler at fastsette særlige betingelser for databehandling på specifikke områder og med hensyn til de særlige kategorier af oplysninger, der omhandles i artikel 8;
medlemsstaterne er bemyndigede til at gennemføre beskyttelsen af personer såvel ved en gererel lov om beskyttelse af personer i forbindelse med behandling af personoplysninger som ved særlove, f.eks. for statistikinstitutter;
dette direktiv berører ikke national lovgivning, der beskytter juridiske personer i forbindelse med behandlingen af opplysninger, som vedrører dem;
principperne om beskyttelse skal dels afspejles i de forskellige forpligtelser, der påhviler personer, offentlige myndigheder, virksomheder, organer eller andre databehandlingsansvarlige, navnlig for så vidt angår oplysningernes pålidelighed, den tekniske sikkerhed, anmeldelse til tilsynsmyndigheden og de omstændigheder, hvorunder behandlingen må udføres, og dels i de rettigheder, der tilkommer de personer, hvis personoplysninger gøres til genstand for behandling; bl.a. retten til at blive underrettet om en behandling, til indsigt, til at kunne kræve oplysninger berigtiget, men også til under visse omstændigheder at gøre indsigelse mod en behandling;
beskyttelsesprincipperne skal gælde enhver oplysning om en identificeret eller identificerbar person; for at afgøre om en person er identificerbar tages alle de hjælpemidler i betragtning, der med rimelighed kan tænkes bragt i anvendelse for at identificere den pågældende enten af den registeransvarlige eller af enhver anden person; beskyttelsesprincipperne gælder ikke oplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke længere kan identificeres; adfærdskodekser i henhold til artikel 27 kan være et nyttigt instrument til at angive måder, hvorpå oplysningene kan gøres anonyme og opbevares i en sådan form, at den registrerede ikke længere kan identificeres;
fysiske personer skal beskyttes såvel i forbindelse med elektronisk databehandling af oplysninger som i forbindelse med ikke elektronisk behandling; omfanget af beskyttelsen må i praksis ikke afhænge af de anvendte teknikker, da der ellers vil være alvorlig risiko for omgåelse; for så vidt angår manuel behandling omfatter dette direktiv dog kun registrere og ikke sagsmapper, der ikke er struktureret efter bestemte kriterier vedrørende personer for at lette adgangen til personoplysningerne; i overensstemmelse med definitionen i artikel 2, litra c), kan de forskellige kriterier for adgang til denne samling af oplysninger defineres af hver enkelt medlemsstat; sagsmapper eller samlinger af sagsmapper eller deres forsider, som ikker er struktureret efter bestemte kriterier, hører under ingen omstændigheder ind under dette direktivs anvendelsesområde;
enhver behandling av personoplysninger skal udføres rimeligt og lovligt i forhold til de registrerede; oplysninger, der behandles, skal være tilstrækkelige, relevante og nødvendige i forhold til behandlingsformålene; behandlingsformålene skal være udtrykkeligt angivet, legitime og skal fastlægges ved indsamlingen af oplysningerne; behandlingsformål, der fastlægges senere end indsamlingen, må ikke være uforenelige med de oprindeligt angivne formål;
senere behandling af personoplysninger navnlig i historisk, statistisk eller videnskabeligt øyemed er generelt ikke uforenelig med de formål, som den tidligere indsamling af oplysningerne havde, såfremt medlemsstaterne giver de fornødne garantier; disse garantier skal især udelukke, at oplysningerne bliver anvendt til at underbygge foranstaltninger eller afgørelser, der træffes over for en bestemt person;
for at være lovlig skal en behandling af personoplysninger desuden bero på den registreredes samtykke eller være nødvendig med henblik på indgåelse eller opfyldelse af en kontrakt, der har bindende virkning for den registrerede, eller være begrundet i et lovkrav, i udførelsen af opgaver i almenhedens interesse, i udøvelsen af embedsmyndighed eller i en persons legitime interesse, medmindre den registreredes interesser, grundlæggende rettigheder og frihedsrettigheder går forud herfor; med særligt henblik på at tilgodese de involverede interesser ligeligt og samtidig sikre en effektiv konkurrence kan medlemsstaterne fastsætte nærmere bestemmelser om, på hvilke betingelser anvendelse og videregivelse af personoplysninger til tredjemand kan finde sted i forbindelse med legitime aktiviteter udøvet af virksomheder og andre organer som led i den daglige drift; de kan ligeledes fastsætte nærmere bestemmelser om, på hvilke betingelser videregivelse af personoplysninger til tredjemand kan finde sted i forbindelse med markedsføring eller markedsundersøgelser, der udføres af velgørende organisationer eller andre sammenslutninger eller stiftelser, f.eks. af politisk karakter, under overholdelse af bestemmelser, som har til formål at give den registrerede mulighed for uden begrundelse og udgifter at gøre indsigelse mod, at sådanne oplysninger behandles;
behandling af personoplysninger, der har til formål at beskytte et hensyn af fundamental betydning for den registreredes liv, anses ligeledes for lovlig;
medlemsstaterne træffer afgørelse om, hvorvidt den registeransvarlige, der udfører en opgave i samfundets interesse eller henhørende under offentlig myndighedsudøvelse, skal være en offentligmyndighed eller en anden offentligretlig eller privatretlig person, f.eks. faglig sammenslutning;
oplysninger, som ifølge deres art kan krænke de grundlæggende frihedsrettigheder eller privatlivets fred, må ikke gøres til genstand for behandling uden den registreredes udtrykkelige samtykke; der skal dog udtrykkeligt gives mulighed for undtagelse fra dette forbud for at imødekomme visse behov, navnlig i sådane tilfælde, hvor databehandlingen udføres med bestemte sundhedsmæssige formål og af personer, der er underkastet tavshedspligt, eller i forbindelse med visse foreningers eller stiftelsers legitime aktiviteter, hvis formål er at sikre udøvelsen av grundlæggende frihedsrettigheder;
når hensynet til vigtige samfundsmæssige interesser berettiger det, skal medlemsstaterne ligeledes kunne fravige forbudet mot at behandle følsomme kategorier af data på områder som f.eks. folkesundhet og social sikring - navnlig for at sikre kvalitet og rentabiliteten af de procedurer, der andvendes i forbindelse med ansøgninger og ydelser og tjenester inden for en sygesikringsordning - videnskabelig forskning og offentlig statistik; det påhviler imidlertid medlemsstaterne at sørge for de fornødne specifikke garantier for beskyttelsen af det enkelte menneskes grundlæggende rettigheder og privatliv;
offentlige myndigheders behandling af personoplysninger for officielt anerkendte religiøse sammenslutninger for at opfylde mål, der er fastsat i forfatningsretten eller i folkeretten, udføres af hensyn til vigtige samfundsmæssige interesser;
hvis det i forbindelse med afholdelse af valg i visse medlemsstater er nødvendigt, for at det demokratiske system kan fungere, at politiske partier indsamler oplysninger om enkeltpersoners politiske holdning, kan behandling af sådanne oplysninger tillades af hensyn til varetagelsen af vigtige samfundsmessige interesser, forudsat, at der fastsættes bestemmelser om de fornødne garantier;
det bør fastsættes undtagelser fra eller begrænsninger af visse bestemmelser i dette direktiv i forbindelse med behandling af personoplysninger i journalistisk øjemed eller med henblik på kunstnerisk eller litterær virksomhed, navnlig på det audiovisuelle område, for så vidt sådanne undtagelser er nødvendige for at forene det enkelte menneskes grundlæggende rettigheder med ytringsfriheden, herunder retten til at modtage og give oplysninger, som fastslået bl.a. i artikel 10 i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder; det påhviler derfor medlemsstaterne med henblik på afvejning mellem de grundlæggende rettigheder at fastsætte de nødvendige undtagelser og begrænsninger for så vidt angår de generelle foranstaltninger vedrørende lovligheden af behandling af oplysninger, foranstaltningerne til overførsel af oplysninger til tredjelande samt tilsynsmyndigheternes beføjelser. Dette må dog ikke føre til, at medlemsstaterne fastsætter undtagelser fra de foranstaltninger, der tager sigte på at garantere behandlingssikkerheden. Der bør endvidere gives den kontrolmyndighed, der er ansvarlig for dette område, i det mindste visse efterfølgende beføjelser, som f.eks. beføjelsen til med jævne mellemrum at offentliggøre en rapport eller at indbringe sager for de retslige myndigheder;
en rimelig behandling af oplysninger forudsætter, at de registrerede kan få kendskab til en behandlings eksistens og, når der indsamles oplysninger hos dem, kan få nøjagtig og fyldesgørende oplysninger med hensyn til de nærmere omstændigheder ved indsamlingen;
visse behandlinger vedrører oplysninger, som den ansvarlige ikke har indsamlet direkte hos den registrerede; endvidere kan der berettiget videregives oplysninger til tredjemand, selv om dette ikke var hensigten, da oplysningerne blev indsamlet hos den registrerede; i disse tilfælde skal den pågældende underrettes, når oplysningerne registreres, eller senest når oplysningerne første gang videregives til tredjemand;
det er imidlertid ikke nødvendigt at pålægge en sådan underretningspligt, hvis den registrerede allerede er bekendt med de registrerede oplysninger, eller hvis registreringen eller videregivelsen udtrykkeligt er fastsat i loven, eller hvis det viser sig umuligt eller uforholdsmæssigt vanskeligt at underrette den pågældende, hvilket kan være tilfældet i forbindelse med behandlinger i historisk, statistisk eller videnskabeligt øjemed; i denne forbindelse kan der tages hensyn til antallet af registrerede, oplysningernes alder samt de kompensatoriske foranstaltninger, der kan træffes;
enhver skal have ret til indsigt i de oplysninger om sig selv, som gøres til genstand for behandling, så den pågældende kan forvisse sig om oplysningernes rightighed og behandlingens lovlighed; af samme årsag skal enhver have ret til at kende den logik, der ligger bag edb-behandlingen af oplysningerne om sig selv, i det mindste i forbindelse med edb-baserede afgørelser, som omhandlet i artikel 15, stk. 1; denne ret må ikke krænke forretningshemmeligheden eller den intellektuelle ejendomsret, navnlig den ophavsret, som programmerne er beskyttet af; dette må dog ikke resultere i, at den registrerede nægtes alle oplysninger;
medlemsstaterne kan af hensyn til den registreredes interesser eller med henblik på at beskytte andres rettigheder og frihedsrettigheder begrænse retten til indsigt og til underretning; de kan f.eks. fastsætte, at adgang til medicinske oplysninger kun kan finde sted via en person, der udøver profession inden for sundhedsvæsenet;
medlemsstaterne kan ligeledes indskrænke retten til indsigt og underretning samt visse af den registeransvarliges forpligtelser, såfremt dette er nødvendigt af hensyn til statens sikkerhed, forsvaret, den offentlige sikkerhed eller væsentlige økonomiske og finansielle interesser i medlemsstaten eller Unionen samt efterforskning og retsforfølgning i straffesager eller i forbindelse med brud på etiske regler for lovregulerende erhverv; undtagelser og begrænsninger bør omfatte kontrol-, tilsyns- og reguleringsopgaver, der er nødvendige på de tre sidstnævnte områder vedrørende den offentlige sikkerhed, de økonomiske og finansielle interesser og retsforfølgning i straffesager; dette berører ikke det berettigede i undtagelser og begrænsninger af hensyn til statens sikkerhed eller forsvaret;
medlemsstaterne kan i medfør af fællesskabsrettens bestemmelser blive nødt til at fravige bestemmelserne i dette direktiv vedrørende indsigt, underretning af de registrerede og opplysningernes kvalitet for at sikre visse af ovenstående mål;
hvor behandling af personoplysninger kan foregå fuldt lovligt i almenvellets interesse, af hensyn til offentlig myndighedsudøvelse eller i en persons legitime interesse, bør enhver ikke desto mindre være berettiget til, hvis han på grund af egne særlige forhold har tungtvejende og legitime grunde hertil, at gøre indsigelse mod, at oplysningerne om ham selv gøres til genstand for behandling; medlemstaterne har imidlertid mulighed for at vedtage nationale bestemmelser om det modsatte;
beskyttelsen af de registreredes rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger forudsætter, at der træffes de fornødne tekniske og organisatoriske foranstaltninger både under selve udformingen og under iværksættelsen af en behandling, navnlig for at varetage sikkerheden og derved forhindre enhver form for ubeføjet behandling; det påhviler medlemsstaterne at sørege for, at de registeransvarlige overholder disse foranstaltninger; disse foranstaltninger skal under hensyn til det aktuelle tekniske niveau og de omkostninger, som er forbundet med deres iværksættelse, tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til de risici, som behandlingen indebærer, og arten af de oplysninger, der skal beskyttes;
når en meddelelse, der indeholder personoplysninger, fremsendes via telekommunikations- eller elektronisk posttjeneste, hvis eneste formål er at sende meddelelser af denne type, er det den person, som er ophavsmand til meddelelsen, og ikke den person, der tilbyder tjenesten, der normalt vil blive betragtet som ansvarlig for behandlingen af de personoplysninger, der er indeholdt i meddelelsen; de personer, som udbyder disse tjenester, vil dog normalt blive betragtet som ansvarlige for behandlingen af de supplerende personoplysninger, der er nødvendige for tjenestens udførelse;
anmeldelsesprocedurerne tager sigte på at gøre en behandlingsformål samt dens vigtigste karakteristika offentlig kendt med henblik på kontrol af behandlingens overholdelse af de nationale bestemmelser, der vedtages til gennemførelse af dette direktiv;
for at undgå overføldige administrative formaliteter kan medlemsstaterne fastsætte fritagelser for og lempelser af anmeldelsespligten for behandlinger, der ikke vil kunne krænke de registreredes rettigheder og frihedsrettigheder, og som er i overensstemmelse med en retsakt, der er udstedt af en medlemsstat, og som fastsætter begrænsningerne herfor; medlemsstaten kan ligeledes give mulighed for forenklet anmeldelse eller fritagelse for anmeldelse, hvor en person med ansvar for databeskyttelse, der udpeges af den registeransvarlige, har kunnet fastslå, at den foretagne behandling ikke vil kunne krænke de registreredes rettigheder og frihedsrettigheder; den person, der har ansvar for databeskyttelse, skal, uanset om han er ansat hos den registeransvarlige eller ej, være i stand til at udøve sit hverv i fuld uafhængighed;
der kan fastsættes fritagelse for anmeldelse eller forenkelt anmeldelse i forbindelse med behandlinger, hvis eneste formål er at føre registre, som er udarbejdet i henhold til national ret med henblik på at stille oplysninger til rådighed for offentligheden eller for personer, der kan godtgøre en legitim interesse heri;
den omstændighed, at den registerasnvarlige er omfattet af den forenklede anmeldelsespligt eller fritaget for anmeldelsespligt, fritager ikke den registeransvarlige for de øvrige forpligtelser, der følger af dette direktiv;
efterfølgende kontrol fra myndighedernes side skal i den forbindelse generelt betragtes som tilstrækkelig;
dog vil visse behandlinger på grund af deres art, omfang eller formål kunne indebære en særlig risiko for at krænke de registreredes rettigheder og frihedsrettigheder, f.eks. behandlinger, der har til formål at udelukke den registrerede fra at udøve en ret, modtage en ydelse eller opnå en kontrakt, eller som indebærer anvendelse af ny teknologi; medlemsstaterne må, hvis de ønsker det, præcisere denne risiko i deres lovgivning;
i forhold til alle de behandlinger, der iværksættes i samfundet, skulle det antal behandlinger, der indebærer en særlig risiko, være meget begrænset; medlemsstaterne skal fastsette bestemmelser om, at tilsynsmyndigheden eller den person, der har ansvar for databeskyttelse, i samråd med tilsynsmyndigheden skal foretage en kontrol af disse behandlinger, inden de iværksættes; tilsynsmyndigheden kan, efter at kontrollen er foretaget, og i overensstemmelse med den nationale lovgivning udtale sig om eller give tilladelse til den pågældende behandling; den forudgående kontrol kan også foretages som led i udarbejdelsen af en lov, der vedtages af det nationale parlament, eller af en anden foranstaltning med hjemmel i en sådan lov, som fastlægger karakteren af behandlingen og fastsætter de fornødne garantier;
krænker den registeransvarlige en registrerets rettigheder, skal der i medlemsstaternes lovgivning gives adgang til at indbringe sagen for en retsinstans; personer, som lider skade som følge af en ulovlig behandling, skal have ret til erstatning fra den registeransvarlige; denne kan fritages for erstatningsansvar, hvis det bevises, at han ikke er skyld i den forvoldte skade, navnlig hvis der kan henvises til en fejl fra den registreredes side eller et tilfælde af force majeure; der skal iværksættes sanktioner over for såvel privatretlige som offentlige personer, der overtræder nationale bestemmelser vedtaget med henblik på gennemførelsen af dette direktiv;
strømmen af personoplysninger på tværs af landegrænserne er nødvendig af hensyn til udbygningen af den internationale samhandel; den beskyttelse, der ved dette direktiv garanteres personer inden for Fællesskabet, er ikke til hinder for, at der videregives personoplysninger til tredjelande, for så vidt disse sikrer et tilstrækkeligt beskyttelsesniveau; vurderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, skal foretages på grundlag af samtlige de forhold, der har indflydelse på en videregivelse eller en type videregivelse af oplysninger;
hvis et tredjeland derimod ikke sikrer et tilstrækkeligt beskyttelsesniveau, skal videregivelse af personoplysninger til det pågældende land forbydes;
der skal dog kunne undtages fra dette forbud under bestemte omstændigheder, hvor den registrerede har meddelt sit samtykke, hvor videregivelsen er nødvendig i forbindelse med en kontrakt eller en retssag, hvor beskyttelsen af væsentlige samfundsinteresser kræver det, f.eks. ved international udveksling af oplysninger mellem skatte- eller toldforvaltninger eller mellem socialsikringsmyndigheder, eller hvor videregivelsen sker fra et register, der er oprettet ved lov, og som offentligheden eller personer med en legitim interesse heri skal kunne konsultere; en sådan videregivelse bør ikke omfatte alle oplysningerne eller hele kategorier af oplysninger i dette register; når et register er beregnet til at blive konsulteret af personer, der har en legitim interesse heri, bør videeregivelse kun ske på anmodning af disse personer, eller hvis de selv er modtageren;
der kan træffes særlige foranstaltninger til at afhjælpe er utilstrækkeligt beskyttelsesniveau i et tredjeland, hvis den registeransvarlige stiller de fornødne garantier; endvidere skal det fastsættes bestemmelser om forhandlingsprocedurer mellem Fællesskabet og de pågældende tredjelande;
videregivelse til tredjelande må under alle omstændigheder kun finde sted under fuld overholdelse af de bestemmelser, som medlemsstaterne vedtager i medfør af dette direktiv, særlig artikel 8;
medlemsstaterne og Kommissionen skal inden for deres respektive kompetanceområder opfordre de berørte erhvervskredse til at udarbejde adfærdskodekser med henblik på, under hensyn til de særlige former for behandling, der udføres i bestemte sektorer, at fremme iværksættelsen af dette direktiv under overholdelse af de bestemmelser, medlemsstaterne har truffet til gennemførelse deraf;
oprettelsen af en uafhængig tilsynsmyndighed i hver medlemsstat har afgørende betydning for beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger;
denne myndighed skal tildeles de fornødne beføjelser til at varetage denne opgave, herunder undersøgelses- og interventionsbeføjelser, navnlig når det drejer sig om klager, samt beføjelse til at indbringe sager for en retsinstans; myndigheden skal bidrage til at tilvejebringe gennemsigtighed i de databehandlinger, der udføres i den medlemsstat, hvorunder den hører;
tilsynsmyndighederne i de enkelte medlemsstater skal yde hinanden bistand i forbindelse med varetagelsen af deres opgaver for at sikre, at beskyttelsesreglerne oveholdes fuldt ud overalt i Den Europæiske Union;
der skal på fællesskabsplan nedsættes en arbejdsgruppe om beskyttelse af personer i forbindelse med behandling af personoplysninger; gruppen skal være fuldt uafhængig i udøvelsen af sine funktioner; i kraft af denne uafhængighed skal den rådgive Komissionen og navnlig bidrage til, at de nationale regler, der vedtages til gennemførelse af dette direktiv, anvendes ensartet;
for så vidt angår videregivelse af oplysninger til tredjelande, er det nødvendigt at tillægge Kommissionen beføjelse til at udstede gennemførelsesbestemmelser og indføre en procedure i henhold til retningslinjerne i Rådets afgørelse nr. 87/373/EØF for at kunde anvende dette direktiv;
Europa-Parlamentet, Rådet og Kommissionen nåede den 20. december 1994 til enighed om en modus vivendi vedrørende gennemførelsesforanstatningerne til retsakter vedtaget efter fremgangsmåden i artikel 189 B i EF-traktaten;
de principper om beskyttelse af personers rettigheder og frihedsrettigheder, og navnlig retten til privatlivets fred, i forbindelse med behandling af personoplysninger, som opstilles i dette direktiv, vil for visse sektorers vedkommende kunne suppleres med eller præciseres i særregler, der skal være i overensstemmelse med disse principper;
der bør gives medlemsstaterne en frist på højst tre år regnet fra datoen for ikrafttrædelsen af de nationale foranstaltninger, der træffes til gennemførelse af dette direktiv, for at de gradvis kan bringe de nye nationale bestemmelser i anvendelse på samtlige behandlinger, der allerede er iværksat; af hensyn til en omkostningsbevidst gennemførelse indrømmes der medlemsstaterne en yderligere periode, der udløber 12 år efter datoen for vedtagelsen af dette direktiv, til at sikre, at eksisterende ikke-elektroniske registre bringes i overensstemmelse med visse av direktivets bestemmelser; data, der er indeholdt i disse registre, og som behandles manuelt i denne udvidede overgangsperiode, skal dog på det tidspunkt, hvor de er genstand for en sådan yderligere behandling, være bragt i overensstemmelse med disse bestemmelser;
den registrerede skal ikke på ny give sit samtykke, for at den registeransvarlige efter ikrafttrædelsen af de nationale bestemmelser i forbindelse med gennemførelsen af dette direktiv kan fortsætte behandlingen af følsomme oplysninger, når denne er nødvendig for udførelsen af en kontrakt, der er indgået på grundlag af frit og informeret samtykke inden ikrafttrædelsen af ovennævnte bestemmelser;
dette direktiv er ikke til hinder for, at en medlemsstat vedtager regler for markedsføring, der henvender sig til forbrugere, der er bosiddende på dens område, for så vidt sådanne regler ikke berører beskyttelsen af personer i forbindelse med behandling af personoplysninger;
dette direktiv giver mulighed for, at der i gennemførelsen af dets bestemmelser kan tages hensyn til princippet om aktindsigt i offentlige dokumenter -

UDSTEDT FØLGENDE DIREKTIV:

KAPITTEL I

Almindelige bestemmelser

Artikel 1

Direktivets formål

1. Medlemsstaterne sikrer i overensstemmelse med dette direktiv beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred, i forbindelse med behandling af personopplysninger.

2. Medlemsstaterne må ikke af grunde, der har forbindelse med den i stk. 1 foreskrevne beskyttelse, indskrænke eller forbyde fri udveksling af personoplysninger mellem medlemsstaterne.

Artikel 2

Definitioner

I dette direktiv forstås ved:

«personoplysninger», enhver form for information om en identificeret eller identificerbar fysisk person («den registrerede»); ved identificerbar person forstås en person, der direkte eller indirekte kan identificeres, bl.a. ved et identifikationsnummer eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet;
«behandling af personoplysninger» («behandling»), enhver operation eller række af operationer - med eller uden brug af elektronisk databehandling - som personoplysninger gøres til genstand for, f.eks. indsamling, registrering, systematisering, opbevaring, tilpasning eller ændring, selektion, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring samt blokering, slettelse eller tilintetgørelse;
«register med personoplysninger» («register»), enhver struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på et funktionsbestemt eller geografisk grundlag;
«den registeransvarlige», den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; er formålet med og hjælpemidlerne ved behandlingen fastlagt ved nationale love eller forskrifter eller på fællesskabsplan, kan den registeransvarlige, eller de specifikke kriterier for udpegelse af denne, angives i den pågældende nationale ret eller fællesskabsretten;
«registerfører», den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler personoplysninger på den registeransvarliges vegne;
«tredjemand», enhver anden fysisk eller juridisk person, offentlig myndighet, institution eller ethvert andet organ end den registrerede, den registeransvarlige, registerføreren og de personer under den registeransvarliges eller registerførerens direkte myndighed, der er beføjet til at behandle oplysningerne;
«modtager», den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, hvortil oplysningerne meddeles, uanset om der er tale om en tredjemand; myndigheder, som vil kunne få meddelt oplysninger som led i en isoleret forespørgsel, betragtes ikke som modtagere;
«den registreredes samtykke», enhver frivillig, specifik og informeret vilje til kendegivelse, hvorved den registrerede indvilliger i, at personoplysninger, der vedrører den pågældende selv, gøres til genstand for behandling.

Artikel 3

Anvendelsesområde

1. Dette direktivs bestemmelser anvendes på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af edb, samt på ikke-elektronisk behandling af personoplysninger.

2. Dette direktiv gælder ikke for sådan behandling af personoplysninger,

som iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af fællesskabsretten, som f.eks. de aktiviteter, der er fastsat i afsnit V og VI i traktaten om Den Europæiske Union, og under ingen omstændigheter for behandling, der vedrører den offentlige sikkerhed, forsvar, statens sikkerhed (herunder statens økonomiske interesser, når behandlingen er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område
som foretages af en fysisk person med henblik på udøvelse af rent personlige eller familiemæssige aktiviteter.

Artikel 4

Gældende national ret

1. Medlemsstaterne anvender de nationale bestemmelser, de vedtager til gennemførelse af dette direktiv, på behandling af personoplysninger;

der foretages som led i en virksomheds eller et organs aktiviteter inden for den medlemsstats område, hvor den registeransvarlige er etableret; en registeransvarlig, som er etableret på flere medlemsstaters område, skal træffe de nødvendige foranstaltninger til at sikre, at hver af disse virksomheder eller organer opfylder kravene i den gældende nationale lovgivning
der foretages af en registeransvarlig, der ikke er etableret på den pågældende medlemsstats område, men på et sted, hvor dens nationale lovgivning gælder i henhold til folkeretten
der foretages af en registeransvarlig, der ikke er etableret på Fællesskabets område, og som med henblik på behandling af personoplysninger anvender midler, det være sig elektroniske eller ikke-elektroniske, som befinder sig på den pågældende medlemsstats område, medmindre disse midler kun benyttes med henblik på forsendelse gennem Det Europæiske Fællesskabs område.

2. I det i stk. 1, litra c), omhandlede tilfælde udpeger den registeransvarlige en repræsentant, der er etableret på den pågældende medlemsstats område, uden at dette i øvrigt berører eventuelle retslige skridt mod den registeransvarlige selv.

KAPITTEL II

Almindelige betingelser for lovlig behandling af personoplysninger

Artikel 5

Medlemsstaterne præciserer i henhold til bestemmelserne i dette kapitel, på hvilke betingelser behandling af personoplysninger er lovlig.

AFDELING I

Principper vedrørende oplysningernes pålidelighed

Artikel 6

1. Medlemsstaterne fastsætter bestemmelser om, at personoplysninger

skal behandles rimeligt og lovligt
skal indsamles til udtrykkeligt angivne og legitime formål, samt at senere behandling heraf ikke må være uforenelig med disse formål; senere behandling af oplysninger i historisk, statistisk eller videnskabeligt øjemed anses ikke for at være uforenelig med disse formål, såfremt medlemsstaterne giver de fornødne garantier
skal være relevante og tilstrækkelige og ikke omfatte mere end, hvad der kræves til opfyldelse af de formål, hvortil de indsamles, og til de formål, hvortil de senere behandles
skal være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt til at slette eller berigtige oplysninger, der er urigtige eller ufuldstændige i forhold til det formål, hvortil de indsamles, eller i forbindelse med hvilke de behandles på et senere tidspunkt
ikke må opbevares på en måde, der giver mulighed for at identificere de registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil de indsamles, eller i forbindelse med hvilke de behandles på et senere tidspunkt. Medlemsstaterne fastsætter de fornødne garantier for personoplysninger, der i historisk, statistisk eller videnskabeligt øjemed opbevares længere en i ovennævnte periode.

2. Det påhviler den registeransvarlige at sikre, at bestemmelserne i stk. 1 overholdes.

AFDELING II

Principper vedrørende grundlaget for behandling af oplysninger

Artikel 7

Medlemsstaterne fastsætter bestemmelser om, at behandling af personoplysninger kun må finde sted hvis:

der ikke hersker tvivl om, at den registrerede har givet sit samtykke, eller
behandlingen er nødvendig af hensyn til opfyldelsen af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på dennes anmodning forud for indgåelsen af en sådan kontrakt, eller
behandlingen er nødvendig for at overholde en retlig forpligtelse, som gælder for den registeransvarlige, eller
behandlingen er nødvendig for at beskytte den registreredes vitale interesser, eller
behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse eller henhørende under offentlig myndigheds udøvelse, som den registeransvarlige eller en tredjemand, til hvem oplysningerne videregives, har fået pålagt, eller
behandlingen er nødvendig, for at den registeransvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, kan forfølge en legitim interesse, medmindre den registreredes interesser eller de grundlæggende rettigheder og frihedsrettigheder, der skal beskyttes i henhold til artikel 1, stk. 1, i dette direktiv, går forud herfor.

AFDELING III

Særlige kategorier af behandlinger

Artikel 8

Behandlinger, der vedrører særlige kategorier af oplysninger

1. Medlemsstaterne forbyder behandling af personoplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold og oplysninger om helbredsforhold og seksuelle forhold.

2. Stk. 1 finder ikke anvendelse, hvis

den registrerede udtrykkeligt har givet sit samtykke til en sådan behandling, medmindre det i medlemsstatens lovgivning fastsættes, at det i stk. 1 omhandlede forbud ikke kan hæves ved den registreredes samtykke, eller
behandlingen er nødvendig for overholdelsen af den registeransvarliges arbejdsretlige forpligtelser og specifikke rettigheder, for så vidt den er tilladt ifølge nationale lovbestemmelser, som fastsætter de fornødne garantier, eller
behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser i tilfælde, hvor den pågældende ikke fysisk eller juridisk er i stand til at give sit samtykke, eller
behandlingen foretages af en stiftelse, en forening eller et andet almennyttigt organ, hvis sigte er af politisk, filosofisk, religiøs eller faglig art, som led i organets legitime aktiviteter og med de fornødne garantier, på betingelse af, at behandlingen alene vedrører organets medlemmer eller personer, der på grund af organets formål er i regelmæssig kontakt hermed, og at oplysningerne ikke videregives til tredjemand uden den registreredes samtykke, eller
behandlingen vedrører oplysninger, som klart offentliggøres af den registrerede, eller er nødvendig for, at et retskrav kan fastslægges, gøres gældende eller forsvares.

3. Stk. 1 finder ikke anvendelse, hvis behandlingen af oplysningerne er nødvendig med henblik på forebyggende medicin, medicinsk diagnose, sykepleje eller patientbehandling eller forvaltning af læge og sundhetstjenester, og hvis behandlingen af disse oplysninger foretages af en erhvervsudøvende i sundhedssektoren, der i henhold til den nationale lovgivning eller til regler, der er fastsat af kompetente nationale organer, har tavshedspligt, eller af en anden person med tilsvarende tavshedspligt.

4. Med forbehold af, at der gives tilstrækkelige garantier, kan medlemsstaterne af grunde, der vedrører hensynet til vigtige samfundsmæssige interesser, fastsætte andre undtagelser end dem, der er nævnt i stk. 2, enten ved national lovgivning, eller ved en afgørelse truffet af tilsynsmyndigheden.

5. Behandling af oplysninger om lovovertrædelser, straffedomme eller sikkerhedsforanstaltninger må kun foretages under kontrol af en offentlig myndighed, eller hvis der gælder tilstrækkelige, specifikke garantier i medfør af den nationale lovgivning med forbehold af de undtagelser, som medlemsstaten kan fastsætte på grundlag af nationale lovbestemmelser, hvorefter der gives tilstrækkelige, specifikke garantier. Et fuldstændigt register over straffedomme må dog kun føres under kontrol af en offentlig myndighed.

6. Undtagelser fra stk. 1 som omhandlet i stk. 4 og 5 meddeles til Kommissionen.

7. Medlemsstaterne bestemmer, på hvilke betingelser et nationalt identifikationsnummer eller andre almene midler til identifikation kan gøres til genstand for behandling.

Artikel 9

Behandling af personoplysninger og ytringsfriheden

Medlemsstaterne fastsætter i forbindelse med behandling af personoplysninger, der udelukkende finder sted i journalistisk øjemed eller med henblik på kunstnerisk eller litterær virksomhed, kun fritagelser eller undtagelser fra bestemmelserne i dette kapitel og i kapitel IV og VI, for så vidt som de er nødvendige for at forene retten til privatlivets fred med reglerne for ytringsfrihed.

AFDELING IV

Oplysningspligt over for den registrerede

Artikel 10

Oplysningspligt ved indsamling af oplysninger hos den registrerede

Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige eller dennes repræsentant skal give den person, hos og om hvem der indsamles oplysninger, mindst følgende informationer, medmindre den pågældende allerede er bekendt hermed, og for så vidt som disse yderligere informationer, under hensyn til de særlige omstændigheder hvorunder oplysningerne indsamles, er nødvendige for at sikre den registrerede en rimelig behandling af oplsyningerne:

den registeransvarliges og eventuelt dennes repræsentants identitet
formålene med den behandling, hvortil oplysningerne er bestemt
alle yderligere informationer som f.eks.

modtagerne eller kategorierne af modtagere
om det er obligatorisk eller frivilligt at besvare spørgsmålene samt mulige følger af ikke at svare
- hvorvidt der gives ret til at få indsigt i og foretage berigtigelse af de oplysninger, der vedrører den registrerede.

Artikel 11

Oplysningspligt, når oplysningerne ikke er indsamlet hos den registrerede

1. Når oplysningerne ikke er indsamlet hos den registrerede, fastsætter medlemsstaterne bestemmelser om, at den registeransvarlige eller dennes repræsentant allerede ved registreringen af oplysningerne, eller senest når oplysningerne første gang videregives til tredjemand, skal give den registrerede mindst følgende informationer, medmindre den pågældende allerede er bekendt hermed, og for så vidt som disse yderligere informationer, under hensyn til de særlige omstændigheder hvorunder oplysningerne indsamles, er nødvendige for at sikre den registrerede en rimelig behandling af oplysningerne:

den registeransvarliges og eventuelt dennes repræsentants identitet
formålene med behandlingen
alle yderligere informationer som f.eks.

- hvilken type oplysninger det drejer seg om

- modtagerne eller kategorierne af modtagere

- hvorvidt der gives ret til at få indsigt i og foretage berigtigelse af de oplysninger, der vedrører den registrerede.

2. Bestemmelserne i stk. 1 finder ikke anvendelse, navnlig ikke når behandlingen foretages i statisktisk øjemed eller til historiske eller videnskabelige forskningsformål, hvis underretning af den registrerede viser sig umulig eller er uforholdsmæssig vanskelig, eller registreringen eller vidergivelsen af oplysningerne er udtrykkeligt fastsat ved lov. I sådanne tilfælde fasstsætter medlemsstaterne de fornødne garantier.

AFDELING V

Den registreredes ret til indsigt

Artikel 12

Ret til indsigt

Medlemsstaterne sikrer enhver registreret ret til hos den registeransvarlige

frit og uhindret, med rimelige mellemrum og uden større ventetid eller større udgifter

- at få oplyst, om der behandles personoplysninger om den pågældende selv, samt mindst formålene med behandlingen, hvilken type oplysninger det drejer sig om, og modtagerne eller kategorierne af modtagere af oplysningerne

- at få meddelt letforståelig information om, hvilke oplysninger der er omfattet af behandlingerne, samt enhver tilgængelig information om, hvorfra disse oplysninger stammer

- at få at vide, hvilken logik der ligger bag edb-behandlingen af oplysningerne om den pågældende, i det mindste i forbindelse med edb-baserede afgørelser som omhandlet i artikel 15, stk. 1

efter omstændighederne at få oplysninger, som ikke er blevet behandlet i overensstemmelse med dette direktiv, berigtiget, slettet eller blokeret, navnlig hvis de er ufuldstændige eller urigtige;
at få udvirket, at tredjemand, til hvem sådanne oplysninger er blevet videregivet, underrettes om enhver berigtigelse, sletning eller blokering, der er foretaget i overensstemmelse med litra b), medmindre underretning viser sig umulig eller er uforholdsmæssig vanskelig.

AFDELING VI

Undtagelser og begrænsninger

Artikel 13

Undtagelser og begrænsninger

1. Medlemsstaterne kan træffe lovmæssige foranstaltninger med henblik på at begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i artikel 6, stk. 1, artikel 10, artikel 11, stk 1, samt artikel 12 og 21, hvis en sådan begrænsning er en nødvendig foranstaltning af hensyn til:

statens sikkerhed
forsvaret
den offentlige sikkerhed
forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller i forbindelse med brud på etiske regler for lovregulerende erhverv
væsentlige økonomiske eller finansielle interesser hos en medlemsstat eller Den Europæiske Union, herunder valuta-, budget- og skatteanliggender
en kontrol-, tilsyns- eller reguleringsopgave, selv af midlertidig karakter, der er et led i den offentlige myndighedsudøvelse på de i litra c), d) og e) nævnte områder
beskyttelsen af den registreredes interesser eller andres rettigheder og frihedsrettigheder.

2. Medlemsstaterne kan med forbehold af de fornødne lovhjemlede garantier, navnlig for at oplysningerne ikke anvendes til at træffe foranstaltninger eller afgørelser vedrørende bestemte personer, i tilfælde, hvor der klart ikke er nogen risiko for, at den registreredes ret til privatlivets fred krænkes, ved lov begrænse de i artikel 12 omhandlede rettigheder, hvis oplysningerne udelukkende behandles med videnskabelig forskning for øje eller kun opbevares i form af personoplysninger i det tidsrum, som kræves for at udarbejde statistikker.

AFDELING VII

Den registreredes indsigelsesret

Artikel 14

Den registreredes indsigelsesret

Medlemsstaterne indrømmer den registrerede ret til

i det mindste i de i artikel 7, litra e) og f), omhandlede tilfælde af vægtige legitime grunde, der vedrører den pågældendes særlige situation, til enhver tid at gøre indsigelse mod, at personoplysninger om ham selv gøres til genstand for behandling, medmindre andet er bestemt i den nationale lovgivning; i tilfælde af berettiget indsigelse må den af den registeransvarlige iværksatte behandling ikke længere omfatte de pågældende oplysninger;
efter anmodning og uden udgifter at modsætte sig en behandling af personoplysninger, der vedrører den pågældende, og som den registeransvarlige agter at foretage med henblik på markedsføring, eller at blive underrettet, inden personoplysningerne første gang vidergives til tredjemand eller anvendes på tredjemands vegne med henblik på markedsføring, og udtrykkelig få tilbud om uden udgifter at gøre indsigelse mod en sådan videregivelse eller anvendelse.

Medlemsstaterne træffer de nødvendige foranstaltninger til at sikre, at de registrerede er bekendt med den i litra b), første afsnit omhandlede ret.

Artikel 15

Edb-behandlede individuelle afgørelser

1. Medlemsstaterne indrømmer enhver person ret til ikke at være undergivet afgørelser, der har retsvirkning for ham, eller som berører ham i væsentlig grad, og som alene er truffet på grundlag af edb-behandling af oplysninger, der er bestemt til at vurdere bestemte personlige forhold, såsom erhversevne, kreditværdighed, pålidelighed, adfærd osv.

2. Uden at dette berører de øvrige bestemmelser i dette direktiv, fastsætter medlemsstaterne bestemmelser om, at en person kan undergive en afgørelse af den art, der er omhandlet i stk. 1 når:

den pågældende afgørelse træffes som led i indgåelsen eller opfyldelsen af en kontrakt, såfremt den registreredes anmodning om indgåelse eller opfyldelse af kontrakten er blevet efterkommet, eller der findes passende foranstaltninger til at beskytte den registreredes legitime interesser, som f.eks. mulighed for denne til at gøre sit synspunkt gældende, eller når
den pågældende afgørelse er hjemlet i en lov, der indeholder bestemmelser til beskyttelse af den registreredes legitime interesser.

AFDELING VIII

Fortrolighed og behandlingssikkerhed

Artikel 16

Behandlingernes fortrolige karakter

Enhver, der udfører arbejde under den registeransvarlige eller registerføreren, herunder registerføreren selv, og som får adgang til personoplysninger, må kun behandle disse efter instruks fra den registeransvarlige, bortset fra tilfælde der er fastsat i lovgivningen.

Artikel 17

Behandlingssikkerhed

1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal iværksætte de fornødne tekniske og organisatoriske foranstaltninger til at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse, mod hændeligt tab, mod forringelse, ubeføjet udbredelse eller ikke-autoriseret adgang, navnlig hvis behandlingen omfatter fremsendelser af oplysninger i et net, samt mod enhver anden form for ulovlig behandling.

Disse foranstaltninger skal under hensyn til det aktuelle tekniske niveau og de omkostninger, som er forbundet med deres iværksættelse, tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til de risici, som behandlngen indebærer, og arten af de oplysninger, som skal beskyttes.

2. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige, hvis oplysninger behandles for dennes regning, skal vælge en registerfører, som frembyder den fornødne garanti med hensyn til de tekniske sikkerhedsforanstaltninger og organisatoriske foranstaltninger, der skal træffes, og skal påse, at disse foranstatninger overholdes.

3. Gennemførelse af en behandling ved en registerfører skal ske i henhold til en kontrakt eller et andet retligt bindende dokument mellem registerføreren og den registeransvarlige, hvori det navnlig fastsættes

at registerføreren alene handler efter instruks fra den registeransvarlige
at forpligtelserne i henhold til stk. 1, som fastlagt i lovgivningen i den medlemsstat, hvor registerføreren er etableret, ligeledes påhviler denne.

4. Med henblik på opbevaring af beviserne skal de dele i kontrakten eller det retlige dokument, der vedrører beskyttelse af oplysninger, og de krav, der vedrører de i stk. 1 omhandlede foranstaltninger, foreligge skriftligt eller i en anden tilsvarende form.

AFDELING IX

Anmeldelse

Artikel 18

Anmeldelsespligt over for tilsynsmyndigheden

1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige eller dennes eventuelle repræsentant forud for iværksættelsen af en behandling, der helt eller delvis udføres ved brug af elektronisk databehandling, eller en række sådanne behandlinger, hvis formål er identiske eller indbyrdes relaterede, skal foretage anmeldelse til den i artikel 28 omhandlede tilsynsmyndighed.

2. Medlemsstaterne må kun give mulighed for forenklet anmeldelse eller fritagelse for anmeldelse i følgende tilfælde og på følgende betingelser:

medlemsstaterne anfører for de typer behandling, hvor det i betragtning af de behandlede oplysninger ikke er sandsynligt, at de registreredes rettigheder eller frihedsrettigheder krænkes, behandlingens formål, hvilke oplysninger eller typer oplysninger der behandles, hvilke registrerede eller kategorier af registrerede der er tale om, til hvilke modtagere eller kategorier af modtagere oplysningerne videregives, samt hvor længe oplysningerne opbevares, og/eller
de registeransvarlige udpeger i overensstemmelse med den nationale lovgivning, som de er underlagt, en person med ansvar for beskyttelse af personoplysninger, som bl.a. har til opgave
i fuld uafhængighed at sikre den interne anvendelse af de nationale bestemmelser, der er truffet i medfør af direktivet
at føre et register over de behandlinger, der gennemføres af den registeransvarlige, og som omfatter de i artikel 21, stk. 2, omhandlede oplysninger for på denne måde at sikre at det er ikke sandsynligt, at de registreredes rettigheder og frihedsrettigheder vil kunne krænkes om følge af behandlingen.

3. Medlemsstaterne kan fastsætte, at stk. 1 ikke finder anvendelse på behandlinger, hvis eneste formål er at føre et register, der ifølge love eller administrative bestemmelser er beregnet til at informere offentligheden, og som er tilgængeligt for offentligheden generelt eller for personer, der kan godtgøre at have en legitim interesse heri.

4. Medlemsstaterne kan fritage de behandlinger, der er omhandlet i artikel 8, stk. 2, litra d), for anmeldelsespligt eller fastsætte en forenklet anmeldelse.

5. Medlemsstaterne kan bestemme, at ikke-elektroniske behandlinger af personoplysninger eller nogle af disse behandlinger skal anmeldes, eller foreskrive forenklet anmeldelse af sådanne behandlinger.

Artikel 19

Anmeldelsens indhold

1. Medlemsstaterne præciserer, hvilke oplysninger anmeldelsen skal indeholde. Anmeldelsen skal mindst indeholde følgende oplysninger:

navn og adresse på den registeransvarlige og dennes eventuelle repræsentant
behandlingens formål
en beskrivelse af kategorien eller kategorierne af registrerede og af de oplysninger eller typer af oplysninger, der vedrører dem
de modtagere eller kategorier af modtagere, som oplysningerne kan videregives til
påtænkte overførsler af oplysninger til tredjelande
en generel beskrivelse, der giver mulighed for foreløbigt at vurdere, om foranstaltningerne med henblik på behandlingssikkerheden i henhold til artikel 17 er passende.

2. Medlemsstaterne præciserer, efter hvilke procedurer ændringer i de i stk. 1 omhandlede oplysninger skal anmeldes til tilsynsmyndigheden.

Artikel 20

Forudgående kontrol

1. Medlemsstaterne præciserer, hvilke behandlinger der kan indebære særlige risici for personers rettigheder og frihedsrettigheder, og sikrer, at disse behandlinger kontrolleres, inden de iværksettes.

2. En sådan forudgående kontrol foretages af tilsynsmyndigheden efter modtagelsen af anmeldelsen fra den registeransvarlige, eller den foretages af den person, der har ansvar for databeskyttelse, som i tivivlstilfælde skal høre tilsynsmyndigheden.

3. Medlemsstaterne kan også gennemføre en sådan kontrol som led i udarbejdelsen af en foranstaltning, der vedtages af det nationale parlament, eller af en anden foranstaltning med hjemmel i en sådan lov, som fastlægger karakteren af behandlngen og fastsætter de fornødne garantier.

Artikel 21

Behandlingernes offentlige tilgængelighed

1. Medlemsstaterne træffer foranstaltninger til at sikre, at behandlingerne er offentligt tilgængelige.

2. Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden fører et register over de behandlinger, der er anmeldt i henholdt il artikel 18.

Registret omfatter mindst de oplysninger, der er anført i artikel 19, stk. 1, litra a)-e).

Registret er offentligt tilgængeligt.

3. For så vidt angår behandlinger, som ikke er omfattet af anmeldelsespligt, fastsætter medlemsstaterne bestemmelser om, at de registeransvarlige eller envher anden myndighed, som medlemsstaterne udpeger, på passende måde mindst skal stille de i artikel 19, stk. 1, litra a)-e), omhandlede oplysninger til rådighed for enhver person, der anmoder herom.

Medlemsstaterne kan fastsætte, at denne bestemmelse ikke finder anvendelse på behandlinger, hvis eneste formål er at føre et register, der ifølge love eller administrative bestemmelser er beregnet til at informere offentligheden og som er tilgængeligt for offentligheden generelt eller for personer, der kan godtgøre at have en legitim interesse heri.

KAPITTEL III

Retsmidler, ansvar og sanktioner

Artikel 22

Klageadgang

Uden at foregribe muligheden for at iværksætte administrativ klage, herunder for den tilsynsmyndighed, der er nævnt i artikel 28, inden forelæggelse for retsinstanser, fastsætter medlemsstaterne bestemmelser om, at enhver har ret til for en domstol at indbringe en klage over krænkelser af de rettigheder, der garanteres i henhold til de nationale love, der gælder for den pågældende behandling.

Artikel 23

Ansvar

1. Medlemsstaterne fastsætter bestemmelser om, at enhver, som har lidt skade som følge af en ulovlig behandling eller enhver anden handling, der er uforenelig med de nationale bestemmelser, der vedtages til gennemførelse af dette direktiv, har ret til erstatning for den forvoldte skade fra den registeransvarlige.

2. Den registeransvarlige kan helt eller delvis fritages for estatningsansvar for skade, hvis han beviser, at han ikke er skyld i den begivenhed, der medførte skaden.

Artikel 24

Sanktioner

Medlemsstaterne træffer de nødvendige foranstaltninger til at sikre, at dette direktiv gennemføres i fuldt omfang, og de fastsætter bl.a. de sanktioner, der skal finde anvendelse i tilfælde af overtrædelse af de bestemmelser, der vedtages til dette direktivs gennemførelse.

KAPITTEL IV

Videregivelse af personoplysninger til tredjelande

Artikel 25

Principper

1. Medlemsstaterne fastsætter bestemmelser om, at videregivelse til et tredjeland af personoplysninger, der gøres til genstand for behandling, eller som skal gøres til genstand for behandling efter videregivelsen, kun må finde sted, hvis det pågældende tredjeland sikrer et tilstrækkeligt beskuttelsesniveau, og forudsat at de nationale bestemmelser, der vedtages til gennemførelse af direktivets øvrige bestemmelser, overholdes.

2. Vurderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, sker på grundlag af samtlige de forhold, der har indflydelse på en videregivelse eller en type videregivelse af oplysninger; til grund for vurderingen lægges navnlig oplysningernes art, den eller de påtænkte behandligers formål og varighed, oprindelseslandet og det endelige bestemmelsesland, de retsregler - almindelige regler eller sektorregler - der er i kraft i det pågældende tredjeland, samt de regler for god forretningsskik og de sikkerhedsforanstaltninger, der gælder i landet.

3. Medlemsstaterne og Kommissionen underretter gensidigt hinanden, hvis de mener, at et tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med stk. 2.

4. Konstaterer Kommissionen efter proceduren i artikel 31, stk. 2, at et tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2, træffes medlemsstaterne de foranstaltninger, der er nødvendige for at hindre enhver videregivelse af oplysninger af samme art til det pågældende tredjeland.

5. Kommissionen indleder på det rette tidspunkt forhandlinger med henblik på at afhjælpe den situation, der opstår som følge af en konstatering efter stk. 4.

6. Kommissionen kan efter proceduren i artikel 31, stk. 2, fastslå, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2, på grundlag af dets nationale lovgivning eller dets internationale forpligtelser med henblik på at beskytte privatlivet og personers grundleggende rettigheder og frihedsrettigheder, herunder de forpligtelser, der er indgået efter de i stk. 5 nævnte forhandlinger.

Medlemsstaterne træffer de foranstaltninger, der er nødvendige for at efterkomme Kommissionens afgørelse.

Artikel 26

Undtagelser

1. Som undtagelse fra bestemmelserne i artikel 25, fastsætter medlemsstaterne, medmindre andet er bestemt i deres nationale lovgivning, at videregivelse eller en type videregivelse af personoplysninger til et tredjeland, der ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med artikel25, stk. 2, kan finde sted, hvis

der ikke hersker tvivl om, at den registrerede har givet sit samtykke, eller
videregivelsen er nødvendig af hensyn til opfyldelsen af en kontrakt mellem den registrerede og den registeransvarlige eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en sådan kontrakt, eller
videregivelsen er nødvendig af hensyn til indgåelsen eller udførelsen af en kontrakt, der i den registreredes interesse er indgået mellem den registeransvarlige og tredjemand, eller
videregivelsen er nødvendig eller følger af lov eller bestemmelser fastsat med hjemmel i lov for at beskytte en vigtig samfundsinteresse eller for, at et retskrav kan fastlægges, gøres gældende eller forsvares, eller
videregivelsen er nødvendig for at beskytte den registreredes vitale interesser, eller
videregivelsen finder sted fra et offentligt register, der ifølge love eller administrative bestemmelser er beregnet til at informere offentligheden og som er tilgængeligt for offentligheden generelt eller for personer, der kan godtgære at have en legitim interesse heri, i det omfang de ved lov fastsatte betingelser for offentlig tilgjængelighed er opfyldt i det specifikke tilfælde.

2. Med forbehold af stk. 1, kan en medlemsstat give tilladelse til videregivelse eller en type videregivelse af personoplysninger til et tredjeland, der ikke sikrer et tilstrækkeligt beskyttelsesniveau i overenstemmelse med artikel 25, stk. 2, hvis den registeransvarlige yder tilstrækkelige garantier for beskyttelse af privatlivets fred, personers grundlæggende rettigheder og frihedsrettigheder samt for udøvelsen af de dertil knyttede rettigheder; sådanne garantier kan især fremgå af passende kontraktbestemmelser.

3. Den pågældende medlemsstat underretter Kommissionen og de øvrige medlemsstater om de tilladelser, den giver i henhold til stk. 2.

Rejses der indsigelse herimod fra en anden medlemsstat eller Kommissionen, og er denne berettiget ud fra hensynet til beskyttelse af privatlivets fred eller personers grundlæggende rettigheder og frihedsrettigheder, vedtager Kommissionen passende foranstaltninger efter proceduren i artikel 31, stk. 2.

4. Fastslår Kommissionen efter proceduren i artikel 31, stk. 2, at visse standardkontraktbestemmelser frembyder tilstrækkelige garantier i henhold til stk. 2, træffer medlemsstaterne de foranstaltninger, der er nødvendige for at efterkomme Kommissionens afgørelse.

KAPITTEL V

Adfærdskodekser

Artikel 27

1. Medlemsstaterne og Kommissionen tilskynder til udarbejdelsen af adfædskodekser, der afhængigt af de særlige forhold i de forskellige sektorer skal bidrage til en korrekt anvendelse af de nationale bestemmelser, medlemsstaterne vedtager til gennemførelse af dette direktiv.

2. Medlemsstaterne fastsætter bestemmelser om, at de brancheforeninger eller andre organer, som repræsenterer andre kategorier af registeransvarlige, som har udarbejdet udkast til nationale adfærdskodekser, eller som agter at ændre eller forlænge gældende nationale kodekser, skal kunne forelægge dem for den nationale myndighed til udtalelse.

Medlemsstaterne fastsætter bestemmelser om, at denne myndighed bl. a. skal kontrollere, at de udkast, den får forelagt, er i overensstemmelse med de nationale bestemmelser, der vedtages til gennemførelse af dette direktiv. Hvis myndigheden finder det hensigtsmæssigt, kan den indhente bemærkninger fra de registrerede eller disses repræsentanter.

3. Udkast til EF-kodeks og forslag til ændring eller forlængelse av eksisterende EF-kodekser kan forelægges den i artikel 29 omhandlede gruppe. Denne udtaler sig bl.a. om, hvorvidt de udkast, den har fått forelagt, er i overensstemmelse med de nationale bestemmelser til gennemførelse af dette direktiv. Hvis den finder det nødvendigt, indhenter den bemærkninger fra de registrerede eller disses repræsentanter. Kommissionen kan tilse, at de kodekser, som gruppen har godkendt, offentliggøres på passende vis.

KAPITTEL VI

Tilsynsmyndighed samt gruppe til beskyttelse af personer i forbindelse med behandling af personoplysninger

Artikel 28

Tilsynsmyndighed

1. Hver medlemsstat drager omsorg for, at der udpeges en eller flere offentlige myndigheder, der har til opgave på dens område at påse overholdelsen af de bestemmelser, medlemsstaten vedtager til gennemførelse af dette direktiv.

Disse myndigheder udøver i fuld uafhængighed de funktioner, der tillægges dem.

2. Hver medlemsstat drager omsorg for, at tilsynsmyndighederne høres ved udarbejdelsen af administrative foranstaltninger eller retsforskrifer om beskyttelse af personers rettigheder og frihedsrettigheder i forbindelse med behandling av personoplysninger.

3. Hver tilsynsmyndighed skal bl.a. kunne:

iværksette undersøgelser og bl.a. have adgang til de oplysninger, der gøres til genstand for en behandling, og til at indsamle alle oplysninger, der er nødvendige for at varetage sine tilsynsopgaver;
gribe effektivt ind ved f.eks. at afgive udtalelser forud for iværksættelsen af behandlingerne i henhold til artikel 20 og sikre en passende offentliggærelse af disse udtalelser, at beordre oplysninger blokeret, slettet eller tilintetgjort, midlertidigt eller definitivt at fobyde en behandling, at udstede en advarsel til den registeransvarlige eller påtale en overtrædelse over for den registeransvarlige eller påtale en overtrædelse over for den registeransvarlige eller ved at høre parlamenter eller andre nationale politiske institutioner;
indbringe overtrædelser af de nationale bestemmelser, som vedtages til gennemførelse af dette direktiv, for retsinstanserne eller gøre retsinstanserne opmærksom på disse overtrædelser.

Afgørelser truffet af tilsynsmyndigheden, som går en involveret part imod, kan indbringes for en retsinstans.

4. Enhver kan, eventuelt repræsenteret ved en sammenslutning, til tilsynsmyndigheden indgive en anmodning om beskyttelse af sine rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger. Den pågældende underrettes om, hvorledes sagen følges op.

Enhver kan til tilsynsmyndigheden især indgive en anmodning om at få kontrolleret en behandlings lovlighed, når de nationale bestemmelser, der er truffet i henhold til artikel 13 i dette direktiv, finder anvendelse. Den pågældende underrettes i alle tilfælde om, at der er blevet foretaget en kontrol.

5. Hver tilsynsmyndighed udarbejder med regelmæssige mellemrum en rapport om sin virksomhed. Denne rapport offentliggøres.

6. Den enkelte tilsynsmyndighed er, uanset hvilken national lov der måtte gælde for den pågældende behandling, kompetent til på sin medlemsstats område at udøve de beføjelser, der tillægges den i overensstemmelse med stk. 3 i denne artikel. Myndigheden kan blive anmodet om at udøve sine beføjelser af en myndighed i en anden medlemsstat.

Tilsynsmyndighederne samarbejder med hinanden i det omfang, det er nødvendigt for at opfylde deres pligter, navnlig ved at udveksle alle nyttige oplysninger.

7. Medlemsstaterne fastsætter bestemmelser i deres lovgivning om, at tilsynsmyndighedernes medlemmer og ansatte også efter deres aktiviteters ophør har tavshedspligt for så vidt angår de fortrolige oplysninger, de har adgang til.

Artikel 29

Gruppe vedrørende beskyttelse af personer i forbindelse med behandling af personoplysninger

1. Der nedsættes en gruppe vedrørende beskyttelse af personer i forbindelse med behandling af personoplysninger, i det følgende benævnt «gruppen».

Denne gruppe er rådgivende og uafhængig.

2. Gruppen består af en repræsentant for den eller de tilsynsmyndigheder, hver medlemsstat har udpeget, og af en repræsentant for den eller de myndigheder, der er oprettet for fællesskabsinstitutionerne og -organerne, samt af en repræsentant for Kommissionen.

Hvert medlem af gruppen udpeges af den institution eller den eller de myndigheder, det repræsenterer. Når en medlemsstat har udpeget flere tilsynsmyndigheder, udnævner disse en fælles representant. Det samme gælder de myndigheder, der er oprettet for fællesskabsinstitutionerne og -organerne.

3. Gruppen træffer sine afgørelser med simpelt flertal blandt repræsentanterne for tilsynsmyndighederne.

4. Gruppen vælger selv sin formand. Formandens mandat gælder for en periode af 2 år. Mandatet kan fornyes.

5. Gruppens sekretariatsopgaver varetages af Kommissionen.

6. Gruppen fastsætter selv sin forretningsorden.

7. Gruppen behandler spørgsmål, der sættes på dagsordenen af dens formand, enten på dennes initiativ, efter anmodning fra en repræsentant for tilsynsmyndighederne eller efter anmodning fra Kommissionen.

Artikel 30

1. Gruppen har til opgave:

at undersøge ethvert spørgsmål vedrørende anvendelse af de nationale bestemmelser, der vedtages til gennemførelse af dette direktiv, med henblik på at bidrage til en ensartet anvendelse heraf;
at give Kommissionen en udtalelse om beskyttelsesniveauet i Fællesskabet og i tredjelande;
at rådgive Kommissionen om ethvert udkast til ændring af dette direktiv og om, hvilke supplerende eller specifikke foranstaltninger der bør træffes for at sikre fysiske personers rettigheder og frihedsrettigheder for så vidt angår behandling af personoplysninger, samt om ethvert andet udkast til fællesskabsforanstaltninger, der har indvirkning på sådanne rettigheder og frihedsrettigheder;
at afgive udtalelse om de adgærdskodekser, der udarbejdes på fællesskabsplan.

2. Konstaterer gruppen forskelle mellem medlemsstaternes lovgivning eller praksis, der kan være til fare for en ensartet beskyttelse af personer i forbindelse med behandling af personoplysninger inden for Fællesskabet, underretter den Kommissionen herom.

3. Gruppen kan på eget initiativ fremsætte henstillinger om ethvert spørgsmål vedrørende beskyttelsen af personer i forbidelse med behandling af personoplysninger inden for Fællesskabet.

4. Gruppens udtalelser og henstillinger forelægges for Kommissionen og for det i artikel 31 omhandlede udvalg.

5. Kommissionen underretter gruppen om, hvorledes den har taget hensyn til dens udtalelser og henstillinger. Kommissionen udarbejder med henblik herpå en beretning, som også forelægges for Europa-Parlamentet og Rådet. Denne beretning offentliggøres.

6. Gruppen udarbejder en årsberetning om situationen vedrørende beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger inden for Fællesskabet og i tredjelande; den forelægger beretningen for Europa-Parlamentet, Rådet og Kommissionen. Beretningen offentliggøres.

KAPITTEL VII

EF-gennemførelsesforanstaltninger

Artikel 31

Udvalget

1. Kommissionen bistås af et udvalg, der består af repræsentanter for medlemsstaternes regeringer, og som har Kommissionens repræsentant som formand.

2. Kommissionens repræsentant forelægger udvalget et udkast til de foranstaltninger, der skal træffes. Udvalget afgiver en udtalelse om dette udkast inden for en frist, som formanden kan fastsætte under hensyn til, hvor meget det pågældende spørgsmål haster.

Udtalelsen afgives med det flertal, som er fastsat i traktatens artikel 148, stk. 2. Ved afstemninger i udvalget tildeles medlemsstaternes stemmer den vægt, som er fastsat i nævnte artikel. Formanden deltager ikke i afstemningen.

Kommissionen vedtager foranstaltninger, der straks finder anvendelse. Hvis de ikke er i overensstemmelse med den afgivne udtalelse, underrettes Rådet dog straks af Kommissionen om disse foranstaltninger. I så fald gælder følgende:

Kommissionen udsætter gennemførelsen af de foranstaltninger, den har truffet afgørelse om, i et tidsrum på tre måneder regnet fra datoen for underretningen;
Rådet kan med kvalificeret flertal træffe en anden afgørelse inden for det tidsrum, der er nævnt i ovenstående led.

Afsluttende bestemmelser

Artikel 32

1. Medlemsstaterne sætter de nødvendige love og administrative bestemmelser i kraft for at efterkomme dette direktiv senest tre år efter dets vedtagelse.

Når medlemsstaterne vedtager disse love og administrative bestemmelser, skal de indeholde en henvisning til dette direktiv, eller de skal ved offentliggørelsen ledsages af en sådan henvisning. De nærmere regler for denne henvisning fastsættes af medlemsstaterne.

2. Medlemsstaterne påser, at behandlinger, der allerede er iværksat på ikrafttrædelsesdatoen for de nationale bestemmelser, der vedtages til gennemførelse af dette direktiv, bringes i overensstemmelse med disse bestemmelser senest tre år efter denne dato. Som en untagelse fra foregående afsnit kan medlemsstaterne fastsætte, at behandlingen af oplysninger, som allerede findes i manuelle registre, der føres på ikrafttrædelsesdatoen for de nationale bestemmelser, der vedtages til gennemførelse af dette direktiv, senest 12 år efter vedtagelsen af direktivet skal bringes i overensstemmelse med direktivets artikel 6, 7 og 8. Medlemsstaterne indrømmer dog den registrerede ret til efter anmodning og navnlig i forbindelse med udøvelse af retten til indsigt at få berigtiget, slettet eller blokeret oplysninger, der er ufuldstændige eller urigtige, eller som opbevares på en måde der er uforenelig med de legitime formål, som den registeransvarlige forfølger.

3. Som en undtagelse fra stk. 2 kan medlemsstaterne, hvis der gives passende garantier, fastsætte, at oplysninger, der kun opbevares med henblik på historisk forskning, ikke skal bringes i overensstemmelse med artikel 6, 7 og 8 i dette direktiv.

4. Medlemsstaterne meddeler Kommissionen teksten til de nationale retsforskrifter, som de udsteder på det område, der er omfattet af dette direktiv.

Artikel 33

Kommissionen forelægger med jævne mellemrum, første gang senest 3 år efter det i artikel 32, stk. 1, nævnte tidspunkt, Europa-Parlamentet og Rådet en beretning om anvendelsen af dette direktiv, eventuelt ledsaget af passende ændringsforlag. Beretningen offentliggøres.

Kommissionen undersøger navnlig direktivets anvendelse på behandling af lyd og billeddata og fysiske personer og forelægger passende forslag, der måtte være nødvendige i betragtning af udviklingen inden for informationsteknologien og informationssamfundet.

Artikel 34

Dette direktiv er rettet til medlemsstaterne.

Udfærdiget i Luxembourg, den 24 oktober 1995

Tabell 1. For Europa-Parlamentet For Rådet

K. Hänsch L. Atienzaserna

Formand Formand

Vedlegg 2 Lov om behandling av personopplysninger

Kapittel I. Lovens formål og virkeområde

§ 1.Lovens formål

Formålet med denne loven er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger.

Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger.

§ 2.Definisjoner

I denne loven forstås med:

personopplysning: opplysninger og vurderinger som kan knyttes til en enkeltperson,
behandling av personopplysninger: enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter,
personregister: registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen,
behandlingsansvarlig: den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes,
databehandler: den som behandler personopplysninger på vegne av den behandlingsansvarlige,
registrert: den som en personopplysning kan knyttes til,
samtykke: en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv,
sensitive personopplysninger: opplysninger om

rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning,
at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling,
helseforhold,
seksuelle forhold,
medlemskap i fagforeninger.

§ 3. Saklig virkeområde

Loven gjelder for

behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler, og
annen behandling av personopplysninger når disse inngår eller skal inngå i et personregister.

Loven gjelder ikke behandling av personopplysninger som den enkelte foretar for rent personlige eller andre private formål.

Kongen kan gi forskrift om at loven eller deler av den ikke skal gjelde for bestemte institusjoner og sakområder.

Kongen kan gi forskrift om behandling av personopplysninger i særskilte virksomheter eller bransjer. For behandling av personopplysninger som ledd i kredittopplysningsvirksomhet kan det i forskrift gis bestemmelser bl.a. om hvilke typer opplysninger som kan behandles, hvilke kilder personopplysninger kan hentes fra, hvem kredittopplysninger kan utleveres til og hvordan utleveringen kan skje, sletting av kredittanmerkninger og taushetsplikt for de ansatte i kredittopplysningsbyrået. Det kan også gis regler om at loven eller enkelte bestemmelser gitt i eller i medhold av den skal gjelde for behandling av kredittopplysninger om andre enn enkeltpersoner.

§ 4. Geografisk virkeområde

Loven gjelder for behandlingsansvarlige som er etablert i Norge. Kongen kan i forskrift bestemme at loven helt eller delvis skal gjelde for Svalbard og Jan Mayen, og fastsette særlige regler om behandling av personopplysninger for disse områdene.

Loven gjelder også for behandlingsansvarlige som er etablert i stater utenfor EØS-området dersom den behandlingsansvarlige benytter hjelpemidler i Norge. Dette gjelder likevel ikke dersom hjelpemidlene bare brukes til å overføre personopplysninger via Norge.

Behandlingsansvarlige som nevnt i annet ledd skal ha en representant som er etablert i Norge. Bestemmelsene som gjelder for den behandlingsansvarlige gjelder også for representanten.

§ 5. Forholdet til andre lover

Bestemmelsene i loven gjelder for behandling av personopplysninger om ikke annet følger av en særskilt lov som regulerer behandlingsmåten.

§ 6. Forholdet til lovbestemt innsynsrett etter andre lover

Loven her begrenser ikke innsynsrett etter offentlighetsloven, forvaltningsloven eller annen lovbestemt rett til innsyn i personopplysninger.

Dersom annen lovbestemt rett til innsyn gir tilgang til flere opplysninger enn loven her, skal den behandlingsansvarlige av eget tiltak veilede om retten til å be om slikt innsyn.

§ 7. Forholdet til ytringsfriheten

For behandling av personopplysninger utelukkende for kunstneriske, litterære eller journalistiske, herunder opinionsdannende, formål gjelder bare bestemmelsene i §§ 13-15, § 26, §§ 36-41, jf. kapittel VIII.

Kapittel II. Alminnelige regler for behandling av personopplysninger

§ 8. Vilkår for å behandle personopplysninger

Personopplysninger (jf. § 2 nr. 1) kan bare behandles dersom den registrerte har samtykket, eller det er fastsatt i lov at det er adgang til slik behandling, eller behandlingen er nødvendig for

å oppfylle en avtale med den registerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås,
at den behandlingsansvarlige skal kunne oppfylle en rettslig forpliktelse
å vareta den registrertes vitale interesser,
å utføre en oppgave av allmenn interesse,
å utøve offentlig myndighet, eller
at den behandlingsansvarlige eller tredjepersoner som opplysningene utleveres til kan vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen.

§ 9.Behandling av sensitive personopplysninger

Sensitive personopplysninger (jf. § 2 nr. 8) kan bare behandles dersom behandlingen oppfyller et av vilkårene i § 8 og

den registrerte samtykker i behandlingen
det er fastsatt i lov at det er adgang til slik behandling,
behandlingen er nødvendig for å beskytte en persons vitale interesser, og den registrerte ikke er i stand til å samtykke,
det utelukkende behandles opplysninger som den registrerte selv frivillig har gjort alminnelig kjent,
behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav
behandlingen er nødvendig for at den behandlingsansvarlige kan gjennomføre sine arbeidsrettslige plikter eller rettigheter
behandlingen er nødvendig for forebyggende sykdomsbehandling, medisinsk diagnose, sykepleie eller pasientbehandling eller for forvaltning av helsetjenester, og opplysningene behandles av helsepersonell med taushetsplikt, eller
behandlingen er nødvendig for historiske, statistiske eller vitenskapelige formål, og samfunnets interesse i at behandlingen finner sted klart overstiger ulempene den kan medføre for den enkelte

Ideelle sammenslutninger og stiftelser kan behandle sensitive personopplysninger innenfor rammen av sin virksomhet selv om behandlingen ikke oppfyller et av vilkårene i første ledd bokstav a - h. Behandlingen kan bare omfatte opplysninger om medlemmer eller personer som på grunn av sammenslutningens eller stiftelsens formål frivillig er i regelmessig kontakt med den, og bare opplysninger som innsamles gjennom denne kontakten. Personopplysningene kan ikke utleveres uten at den registrerte samtykker.

Datatilsynet kan bestemme at sensitive personopplysninger kan behandles også i andre tilfeller dersom viktige samfunnsinteresser tilsier det og det settes i verk tiltak for å sikre den registrertes interesser.

§ 10.Register over straffedommer

Et fullstendig register over straffedommer kan bare føres under kontroll av en offentlig myndighet.

§ 11.Grunnkrav til behandling av personopplysninger

Den behandlingsansvarlige skal sørge for at personopplysningene som behandles

bare behandles når dette er tillatt etter § 8 og § 9
bare nyttes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet,
ikke brukes senere til formål som er uforenlig med det opprinnelige formålet med innsamlingen, uten at den registrerte samtykker,
er tilstrekkelige og relevante for formålet med behandlingen, og
er korrekte og oppdatert, og ikke lagres lenger enn det som nødvendig ut fra formålet med behandlingen, jf. § 27 og § 28.

Senere behandling av personopplysningene for historiske, statistiske eller vitenskapelige formål anses ikke uforenlig med de opprinnelige formålene med innsamlingen av opplysningene, jf. første ledd bokstav c, dersom samfunnets interesse i at behandlingen finner sted, klart overstiger ulempene den kan medføre for den enkelte.

§ 12.Bruk av fødselsnummer m.v.

Fødselsnummer og andre entydige identifikasjonsmidler kan bare nyttes i behandlingen når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering.

Datatilsynet kan pålegge en behandlingsansvarlig å bruke identifikasjonsmidler som nevnt i første ledd for å sikre at personopplysningene har tilstrekkelig kvalitet.

Kongen kan gi forskrift med nærmere regler om bruk av fødselsnummer og andre entydige identifikasjonsmidler.

§ 13.Informasjonssikkerhet

Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger.

For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda.

En behandlingsansvarlig som lar andre få tilgang til personopplysninger, f.eks. en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første og annet ledd.

Kongen kan gi forskrift om informasjonssikkerhet ved behandling av personopplysninger, herunder nærmere regler om organisatoriske og tekniske sikkerhetstiltak.

§ 14.Internkontroll

Den behandlingsansvarlige skal etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven, herunder sikre personopplysningenes kvalitet.

Den behandlingsansvarlige skal dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda.

Kongen kan gi forskrift med nærmere regler om internkontroll.

§ 15. Databehandlerens rådighet over personopplysninger

En databehandler kan ikke behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse.

I avtalen med den behandlingsansvarlige skal det også gå frem at databehandleren plikter å gjennomføre slike sikringstiltak som følger av § 13.

§ 16.Frist for å svare på henvendelser om informasjon m.v.

Den behandlingsansvarlige skal svare på henvendelser om innsyn eller andre rettigheter etter § 18, § 22, § 25, § 26, § 27 og § 28 uten ugrunnet opphold og senest innen 30 dager fra den dagen henvendelsen kom inn.

Dersom særlige forhold gjør det umulig å svare på henvendelsen innen 30 dager, kan gjennomføringen utsettes inntil det er mulig å gi svar. Den behandlingsansvarlige skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis.

§ 17.Betaling

Den behandlingsansvarlige kan ikke kreve vederlag for å gi informasjon etter kapittel III eller for å etterkomme krav fra den registrerte etter kapittel IV.

Kapittel III. Informasjon om behandling av personopplysninger

§ 18.Rett til innsyn

Enhver som ber om det, skal få vite hva slags behandling av personopplysninger en behandlingsansvarlig foretar, og kan kreve å få følgende informasjon om en bestemt type behandling:

navn og adresse på den behandlingsansvarlige og dennes eventuelle representant
hvem som har det daglige ansvaret for å oppfylle den behandlingsansvarliges plikter,
formålet med behandlingen,
beskrivelser av hvilke typer personopplysninger som behandles,
hvor opplysningene er hentet fra, og
om personopplysningene vil bli utlevert, og eventuelt hvem som er mottaker.

Dersom den som ber om innsyn er registrert, skal den behandlingsansvarlige opplyse om

hvilke opplysninger om den registrerte som behandles, og
sikkerhetstiltakene ved behandlingen så langt innsyn ikke svekker sikkerheten.

Den registrerte kan kreve at den behandlingsansvarlige utdyper informasjonen i første ledd bokstav a - f i den grad dette er nødvendig for at den registrerte skal kunne vareta egne interesser.

Retten til informasjon etter annet og tredje ledd gjelder ikke dersom personopplysningene behandles utelukkende for historiske, statistiske eller vitenskapelige formål og behandlingen ikke får noen direkte betydning for den registrerte.

§ 19.Informasjonsplikt når det samles inn opplysninger fra den registrerte

Når det samles inn personopplysninger fra den registrerte selv, skal den behandlingsansvarlige av eget tiltak først informere den registrerte om

navn og adresse på den behandlingsansvarlige og dennes eventuelle representant
formålet med behandlingen,
opplysningene vil bli utlevert, og eventuelt hvem som er mottaker,
det er frivillig å gi fra seg opplysningene, og.
annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på best mulig måte, som f.eks. informasjon om retten til å kreve innsyn, jf. § 18, og retten til å kreve retting, jf. § 27 og § 28

Varsling er ikke påkrevd dersom det er på det rene at den registrerte allerede kjenner til informasjonen i første ledd.

§ 20.Informasjonsplikt når det samles inn opplysninger fra andre enn den registrerte

En behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, skal av eget tiltak informere den registrerte om hvilke opplysninger som samles inn og gi informasjon som nevnt i § 19 første ledd så snart opplysningene er innhentet. Dersom formålet med innsamling av opplysningene er å gi dem videre til andre, kan den behandlingsansvarlige vente med å varsle den registrerte til utleveringen skjer.

Den registrerte har ikke krav på varsel etter første ledd dersom

innsamlingen eller formidlingen av opplysningene er uttrykkelig fastsatt i lov,
varsling er umulig eller uforholdsmessig vanskelig, eller
det er på det rene at den registrerte allerede kjenner til informasjonen varslet skal inneholde

Når varsling unnlates med hjemmel i bokstav b, skal informasjonen likevel gis senest når det gjøres en henvendelse til den registrerte på grunnlag av opplysningene.

§ 21.Informasjonsplikt ved bruk av personprofiler

Når noen henvender seg til eller treffer avgjørelser som retter seg mot den registrerte på grunnlag av personprofiler som er ment å beskrive atferd, preferanser, evner eller behov, f eks som ledd i markedsføringsvirksomhet, skal den behandlingsansvarlige informere den registrerte om

hvem som er behandlingsansvarlig,
hvilke opplysningstyper som er anvendt, og
hvor opplysningene er hentet fra

§ 22.Rett til informasjon om automatiserte avgjørelser

Hvis en avgjørelse har rettslig eller annen vesentlig betydning for den registrerte og fullt ut er basert på automatisk behandling av personopplysninger, kan den registrerte som avgjørelsen retter seg mot, kreve at den behandlingsansvarlige gjør rede for regelinnholdet i datamaskinprogrammene som ligger til grunn for avgjørelsen.

§ 23.Unntak fra retten til informasjon

Retten til innsyn etter § 18 og § 22 og plikten til å gi informasjon etter § 19, § 20 og § 21 omfatter ikke opplysninger som

om de ble kjent, ville kunne skade rikets sikkerhet, landets forsvar eller forholdet til fremmede makter eller internasjonale organisasjoner,
det er påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger,
det må anses utilrådelig at den registrerte får kjennskap til, av hensyn til vedkommendes helse eller forholdet til personer som står vedkommende nær,
det i medhold av lov gjelder taushetsplikt for,
utelukkende finnes i tekst som er utarbeidet for den interne saksforberedelse og som heller ikke er utlevert til andre,
det vil være i strid med åpenbare og grunnleggende private eller offentlige interesser å informere om, herunder hensynet til den registrerte selv.

Opplysninger etter første ledd bokstav c kan på anmodning likevel gjøres kjent for en representant for den registrerte når ikke særlige grunner taler mot det.

Den som nekter å gi innsyn i medhold av første ledd må begrunne dette skriftlig med presis henvisning til unntakshjemmelen.

Kongen kan gi forskrift om andre unntak fra innsynsretten og informasjonsplikten og om vilkår for bruk av innsynsretten.

§ 24.Hvordan informasjonen skal gis

Informasjonen kan kreves skriftlig hos den behandlingsansvarlige eller hos dennes databehandler som nevnt i § 15. Før det gis innsyn i opplysninger om en registrert, kan den behandlingsansvarlige kreve at den registrerte leverer en skriftlig og undertegnet begjæring.

Kapittel IV. Andre rettigheter for den registrerte

§ 25.Rett til å kreve manuell behandling

Den som en fullt automatisert avgjørelse som nevnt i § 22 retter seg mot eller som saken ellers direkte gjelder, kan kreve at avgjørelsen overprøves av en fysisk person.

Retten etter første ledd gjelder ikke dersom den registrertes personverninteresser varetas på tilstrekkelig måte og avgjørelsen er hjemlet i lov eller knytter seg til oppfyllelse av kontrakt.

§ 26.Rett til å reservere seg mot direkte markedsføring

Kongen kan gi forskrift om et sentralt reservasjonsregister med nærmere regler for registeret.

Den registrerte kan kreve sitt navn sperret mot bruk til direkte markedsføring uavhengig av medium. Sperring kan kreves både i det sentrale reservasjonsregisteret og i markedsførerens adresseregister.

Behandlingsansvarlige som markedsfører direkte, skal oppdatere sitt adresseregister i henhold til det sentrale reservasjonsregisteret før første gangs utsendelse og minst fire ganger hvert år.

Den som mottar direkte reklame, skal få opplyst hvem som har gitt personopplysningene som ligger til grunn for henvendelsen.

Retten til å kreve sperring i det sentrale reservasjonsregisteret gjelder ikke for markedsføring av egne produkter fra behandlingsansvarlige som den registrerte har et løpende kundeforhold til.

§ 27.Retting av mangelfulle personopplysninger

Dersom det er behandlet personopplysninger som er uriktige, ufullstendige eller som det ikke er adgang til å behandle, skal den behandlingsansvarlige av eget tiltak eller på begjæring av den registrerte rette de mangelfulle opplysningene. Den behandlingsansvarlige skal om mulig sørge for at feilen ikke får betydning for den registrerte, f.eks. ved å varsle mottakere av utleverte opplysninger.

Retting av uriktige eller ufullstendige personopplysninger som kan ha betydning som dokumentasjon, skal skje ved at opplysningene tydelig markeres og suppleres med korrekte opplysninger.

Dersom tungtveiende personvernhensyn tilsier det, kan Datatilsynet uten hinder av annet ledd bestemme at retting skal skje ved at de mangelfulle personopplysningene slettes eller sperres. Hvis opplysningene ikke kan kasseres i medhold av arkivloven, skal Riksarkivaren høres før det treffes vedtak om sletting. Vedtaket går foran reglene i arkivloven 4. desember 1992 nr. 126 § 9 og § 18.

Sletting bør suppleres med registrering av korrekte og fullstendige opplysninger. Dersom dette ikke er mulig, og dokumentet som inneholdt de slettede opplysningene av den grunn gir et åpenbart misvisende bilde, skal hele dokumentet slettes.

Kongen kan gi forskrift med utfyllende bestemmelser om hvordan retting skal gjennomføres.

§ 28.Forbud mot å lagre unødvendige personopplysninger

Den behandlingsansvarlige skal ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Hvis ikke personopplysningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes.

Den behandlingsansvarlige kan uten hinder av første ledd lagre personopplysninger for historiske, statistiske eller vitenskapelige formål, dersom samfunnets interesse i at opplysningene lagres klart overstiger de ulempene den kan medføre for den enkelte. Den behandlingsansvarlige skal i så fall sørge for at opplysningene ikke oppbevares på måter som gjør det mulig å identifisere den registrerte lenger enn nødvendig.

Den registrerte kan kreve at opplysninger som er sterkt belastende for ham eller henne skal sperres eller slettes dersom dette

ikke strider mot annen lov, og
er forsvarlig ut fra en samlet vurdering av bl.a. andres behov for dokumentasjon, hensynet til den registrerte, kulturhistoriske hensyn og de ressurser gjennomføringen av kravet forutsetter.

Datatilsynet kan - etter at Riksarkivaren er hørt - treffe vedtak om at retten til sletting etter tredje ledd går foran reglene i arkivloven 4. desember 1992 nr. 126 § 9 og § 18.

Hvis dokumentet som inneholdt de slettede opplysningene gir et åpenbart misvisende bilde etter slettingen, skal hele dokumentet slettes.

Kapittel V. Overføring av personopplysninger til utlandet

§ 29.Grunnleggende vilkår

Personopplysninger kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene. Stater som har gjennomført direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, oppfyller kravet til forsvarlig behandling.

I vurderingen av om behandlingen sikres på forsvarlig måte, skal det bl.a. legges vekt på opplysningenes art, den planlagte behandlingens formål og varighet samt de rettsregler, regler for god forretningsskikk og sikkerhetstiltak som gjelder i vedkommende stat. Det skal også legges vekt på om staten har tiltrådt Europarådets konvensjon 28. januar 1981 nr. 108 om personvern i forbindelse med elektronisk behandling av personopplysninger.

§ 30.Unntak

Personopplysninger kan også overføres til stater som ikke sikrer en forsvarlig behandling av opplysningene dersom

den registrerte har samtykket i overføringen,
det foreligger plikt til å overføre opplysningene etter folkerettslig avtale eller som følge av medlemskap i internasjonal organisasjon,
overføringen er nødvendig for å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås
overføringen er nødvendig for å inngå eller oppfylle en avtale med en tredjeperson i den registrertes interesse,
overføringen er nødvendig for å vareta den registrertes vitale interesser
overføringen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav,
overføringen er nødvendig eller følger av lov for å beskytte en viktig samfunnsinteresse, eller
det er fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig register.

Datatilsynet kan tillate overføring selv om vilkårene i første ledd ikke er oppfylt dersom den behandlingsansvarlige gir tilstrekkelige garantier for vern av den registrertes rettigheter. Datatilsynet kan sette vilkår for overføringen.

Kongen kan gi forskrift om overføring av personopplysninger til utlandet, herunder om å stanse eller begrense overføring til bestemte stater som ikke tilfredsstiller kravene i § 29.

Kapittel VI. Melde- og konsesjonsplikt

§ 31.Meldeplikt

Den behandlingsansvarlige skal gi melding til Datatilsynet før

behandling av personopplysninger med elektroniske hjelpemidler,
opprettelse av manuelt personregister som inneholder sensitive personopplysninger.

Meldingen skal gis senest 30 dager før behandlingen tar til. Datatilsynet skal gi den behandlingsansvarlige kvittering for at melding er mottatt.

Ny melding må gis før behandling som går ut over den rammen for behandling som er angitt i medhold av § 32. Selv om det ikke har skjedd endringer, skal det gis ny melding tre år etter at forrige melding ble gitt.

Kongen kan gi forskrift om at visse behandlingsmåter eller behandlingsansvarlige er unntatt fra meldeplikt, underlagt forenklet meldeplikt eller underlagt konsesjonsplikt. For behandlinger som unntas fra meldeplikt kan det gis forskrift for å begrense ulemper som behandlingen ellers kan medføre for den registrerte.

§ 32.Meldingens innhold

Meldingen skal opplyse om

navn og adresse på den behandlingsansvarlige og på dennes eventuelle representant og databehandler,
når behandlingen starter,
hvem som har det daglige ansvaret for å oppfylle den behandlingsansvarliges plikter,
formålet med behandlingen,
oversikt over hvilke typer personopplysninger som skal behandles
hvor personopplysningene hentes fra
det rettslige grunnlaget for innsamlingen av opplysningene,
hvem personopplysningene vil bli utlevert til, herunder eventuelle mottakere i andre stater, og
hvilke sikkerhetstiltak som er knyttet til behandlingen.

Kongen kan gi forskrift om hvilke opplysninger meldingene skal inneholde og om gjennomføringen av meldeplikten.

§ 33.Konsesjonsplikt

Det kreves konsesjon fra Datatilsynet for å behandle sensitive personopplysninger. Dette gjelder likevel ikke for behandling av sensitive personopplysninger som er avgitt uoppfordret.

Datatilsynet kan bestemme at også behandling av annet enn sensitive personopplysninger krever konsesjon, dersom behandlingen ellers åpenbart vil krenke tungtveiende personverninteresser. I vurderingen av om konsesjon er nødvendig, skal Datatilsynet bl.a. ta hensyn til personopplysningenes art, mengde og formålet med behandlingen.

Den behandlingsansvarlige kan kreve at Datatilsynet avgjør om en behandling vil kreve konsesjon.

Konsesjonsplikt etter første og annet ledd gjelder ikke for behandling av personopplysninger i organ for stat eller kommune når behandlingen har hjemmel i egen lov.

Kongen kan gi forskrift om at visse behandlingsmåter ikke trenger konsesjon etter første ledd. For behandlingsmåter som unntas fra konsesjon kan det gis forskrift for å begrense ulemper som behandlingen ellers kan medføre for den registrerte.

§ 34.Avgjørelsen av om konsesjon skal gis

Ved avgjørelsen av om konsesjon skal gis, skal det klarlegges om behandlingen av personopplysninger kan volde ulemper for den enkelte som ikke avhjelpes gjennom bestemmelsene i kapitlene II-V og vilkår etter § 35. I så fall må det vurderes om ulempene blir oppveid av hensyn som taler for behandlingen.

§ 35.Vilkår i konsesjon

I konsesjonen skal det vurderes å sette vilkår for behandlingen når slike vilkår er nødvendige for å begrense ulempene behandlingen ellers ville medføre for den registrerte.

Kapittel VII. Fjernsynsovervåking

§ 36.Definisjon

Med fjernsynsovervåking menes vedvarende eller regelmessig gjentatt personovervåking ved hjelp av fjernbetjent eller automatisk virkende fjernsynskamera fotografiapparat eller lignende apparat.

§ 37.Virkeområde

Reglene i §§ 38-41 gjelder for all fjernsynsovervåking. Det samme gjelder § 8, § 9, § 11, § 31 og § 32. Fjernsynsovervåking som har som formål å avdekke opplysninger som nevnt i § 2 nr. 8 bokstav b, er likevel tillatt, selv om vilkårene i § 9 første ledd ikke er oppfylt.

Når billedopptak fra fjernsynsovervåking lagres på en måte som gjør det mulig å finne igjen opplysninger om en bestemt person, jf. § 3 første ledd, gjelder også lovens øvrige bestemmelser. Konsesjonsplikten etter § 33 gjelder likevel ikke for slik fjernsynsovervåking som har som formål å avdekke opplysninger som nevnt i § 2 nr. 8 bokstav b.

§ 38.Grunnkrav til overvåking

Fjernsynsovervåking av sted hvor en begrenset krets av personer ferdes jevnlig, er bare tillatt dersom det ut fra virksomheten er et særskilt behov for overvåkingen.

§ 39.Utlevering av billedopptak gjort ved fjernsynsovervåking

Personopplysninger som er innsamlet ved billedopptak gjort ved fjernsynsovervåking, kan bare utleveres til andre enn den behandlingsansvarlige dersom den som er avbildet samtykker eller utleveringsadgangen følger av lov. Billedopptak kan likevel utleveres til politiet ved etterforskning av straffbare handlinger eller ulykker hvis ikke lovbestemt taushetsplikt er til hinder.

§ 40.Varsel om at overvåking finner sted

Ved fjernsynsovervåking på offentlig sted eller sted hvor en begrenset krets av personer ferdes jevnlig, skal det ved skilting eller på annen måte gjøres tydelig oppmerksom på at stedet blir overvåket og hvem som er behandlingsansvarlig.

§ 41.Forskrifter

Kongen kan gi forskrifter med nærmere bestemmelser om fjernsynsovervåking og billedopptak i forbindelse med slik overvåking, herunder om sikring, bruk og sletting av billedopptak gjort ved fjernsynsovervåking og om innsynsrett for den som er overvåket i de deler av billedopptakene hvor han eller hun er avbildet. Det kan også gis forskrift om at billedopptak kan utleveres utover det som følger av § 39.

Kapittel VIII. Tilsyn og sanksjoner

§ 42.Datatilsynets organisering og oppgaver

Datatilsynet er et uavhengig forvaltningsorgan administrativt underordnet Kongen og departementet. Kongen og departementet kan ikke gi instruks om eller omgjøre Datatilsynets utøving av myndighet i enkelttilfeller etter loven.

Datatilsynet ledes av en direktør som utnevnes av Kongen. Kongen kan bestemme at direktøren ansettes på åremål.

Datatilsynet skal

føre en systematisk og offentlig fortegnelse over alle behandlinger som er innmeldt etter § 31 eller gitt konsesjon etter § 33, med opplysninger som nevnt i § 18 første ledd jf. § 23,
behandle søknader om konsesjoner, motta meldinger og vurdere om det skal gis pålegg der loven gir hjemmel for dette,
kontrollere at lover og forskrifter som gjelder for behandling av personopplysninger blir fulgt, og at feil eller mangler blir rettet,
holde seg orientert om og informere om den generelle nasjonale og internasjonale utviklingen i behandlingen av personopplysninger og om de problemer som knytter seg til slik behandling,
identifisere farer for personvernet, og gi råd om hvordan de kan unngås eller begrenses,
gi råd og veiledning i spørsmål om personvern og sikring av personopplysninger til dem som planlegger å behandle personopplysninger eller utvikle systemer for slik behandling, herunder bistå i utarbeidelsen av bransjevise atferdsnormer,
etter henvendelse eller av eget tiltak gi uttalelse i spørsmål om behandling av personopplysninger, og
gi Kongen årsmelding om sin virksomhet.

Avgjørelser som Datatilsynet fatter i medhold av § 9, § 12, § 27, § 28, § 30, § 33, § 34, § 35, § 44, § 46 og § 47 kan påklages til Personvernnemnda. Avgjørelser som fattes i medhold av § 27 eller § 28 kan påklages videre til Kongen dersom avgjørelsen gjelder personopplysninger som behandles for historiske formål.

§ 43.Personvernnemndas organisering og oppgaver

Personvernnemnda avgjør klager over Datatilsynets avgjørelser, jf. § 42 fjerde ledd. Nemnda er et uavhengig forvaltningsorgan administrativt underordnet Kongen og departementet. § 42 første ledd annet punktum gjelder tilsvarende.

Personvernnemnda har syv medlemmer som oppnevnes for fire år med adgang til gjenoppnevning for ytterligere fire år. Lederen og nestlederen oppnevnes av Stortinget. De øvrige fem medlemmene oppnevnes av Kongen.

Personvernnemnda kan bestemme at lederen eller nestlederen sammen med to andre nemndsmedlemmer kan behandle klager over avgjørelser som må avgjøres uten opphold.

Personvernnemnda orienterer årlig Kongen om behandling av klagesakene.

Søksmål om gyldigheten av Personvernnemndas avgjørelser rettes mot staten ved Personvernnemnda.

Kongen kan gi nærmere regler om Personvernnemndas organisering og saksbehandling.

§ 44.Tilsynsmyndighetens tilgang til opplysninger

Datatilsynet og Personvernnemnda kan kreve de opplysningene som trengs for at de kan gjennomføre sine oppgaver.

Datatilsynet kan som ledd i sin kontroll med at lovens regler etterleves, kreve adgang til steder hvor det finnes personregistre, overvåkingsutstyr og billedopptak som nevnt i § 37, personopplysninger som behandles elektronisk og hjelpemidler for slik behandling. Tilsynet kan gjennomføre de prøver eller kontroller som det finner nødvendig og kreve bistand fra personalet på stedet i den grad dette må til for å få utført prøvene eller kontrollene.

Retten til å kreve opplysninger eller tilgang til lokaler og hjelpemidler i henhold til første og annet ledd gjelder uten hinder av taushetsplikt.

Kongen kan gi forskrift om unntak fra første til tredje ledd av hensyn til rikets sikkerhet. Kongen kan også gi forskrift om dekning av utgiftene ved kontroll. Skyldige bidrag til dekning av utgiftene er tvangsgrunnlag for utlegg.

§ 45.Taushetsplikt for tilsynsmyndighetene

For ansatte i Datatilsynet, medlemmer av Personvernnemnda og andre som utfører tjeneste for tilsynsmyndighetene gjelder bestemmelsene om taushetsplikt i forvaltningsloven §§ 13 flg. Taushetsplikten omfatter også opplysninger om sikkerhetstiltak, jf. § 13.

Datatilsynet og Personvernnemnda kan uten hinder av taushetsplikten etter første ledd gi opplysninger til utenlandske tilsynsmyndigheter når det er nødvendig for å kunne treffe vedtak som ledd i tilsynsvirksomheten.

§ 46.Pålegg om endring eller opphør av ulovlige behandlinger

Datatilsynet kan gi pålegg om at behandling av personopplysninger i strid med bestemmelser i eller i medhold av denne loven skal opphøre eller stille vilkår som må oppfylles for at behandlingen skal være i samsvar med loven.

§ 47.Tvangsmulkt

Ved pålegg etter § 12, § 27, § 28 og § 46 kan Datatilsynet fastsette en tvangsmulkt som løper for hver dag som går etter utløpet av den fristen som er satt for oppfylling av pålegget, inntil pålegget er oppfylt.

Tvangsmulkten løper ikke før klagefristen er ute. Hvis vedtaket påklages, løper ikke tvangsmulkt før Personvernnemnda har bestemt det.

Datatilsynet kan frafalle påløpt tvangsmulkt.

§ 48.Straff

Med bøter eller fengsel inntil ett år eller begge deler straffes den som forsettlig eller grovt uaktsomt

unnlater å sende melding etter § 31,
behandler personopplysninger uten nødvendig konsesjon etter § 33,
overtrer vilkår fastsatt etter § 35 eller § 46,
unnlater å etterkomme pålegg fra Datatilsynet etter § 12, § 27, § 28 eller § 46,
behandler personopplysninger i strid med § 13, § 15, § 26 eller § 39, eller
unnlater å gi opplysninger etter § 19, § 20, § 21, § 40 eller § 44.

Ved særdeles skjerpende omstendigheter kan fengsel inntil tre år idømmes. Ved avgjørelsen av om det foreligger særdeles skjerpende omstendigheter skal det blant annet legges vekt på faren for stor skade eller ulempe for den registrerte, den tilsiktede vinningen ved overtredelsen, overtredelsens varighet og omfang, utvist skyld, og om den behandlingsansvarlige tidligere er straffet for å ha overtrådt tilsvarende bestemmelser.

Medvirkning straffes på samme måte.

I forskrift som gis i medhold av loven, kan det fastsettes at den som forsettlig eller grovt uaktsomt overtrer forskriften skal straffes med bøter eller fengsel inntil ett år eller begge deler.

§ 49.Erstatning

Den behandlingsansvarlige skal erstatte skade som er oppstått som følge av at personopplysninger er behandlet i strid med bestemmelser i eller i medhold av loven, med mindre det godtgjøres at skaden ikke skyldes feil eller forsømmelse på den behandlingsansvarliges side.

Behandlingsansvarlige som formidler kredittopplysninger og som har meddelt opplysninger som viser seg uriktige eller åpenbart misvisende, skal erstatte skade som er oppstått som følge av den feilaktige meddelelsen, uten hensyn til om skaden skyldes feil eller forsømmelse på den behandlingsansvarliges side.

Erstatningen skal svare til det økonomiske tapet som den skadelidte er påført som følge av den ulovlige behandlingen. Den behandlingsansvarlige kan også pålegges å betale slik erstatning for skade av ikke-økonomisk art (oppreisning) som synes rimelig.

Kapittel IX. Ikraftsetting. Overgangsregler. Endringer i andre lover

§ 50. Ikraftsetting

Loven trer i kraft fra den tid Kongen bestemmer. Kongen kan bestemme at de enkelte bestemmelsene i loven skal tre i kraft til forskjellig tid.

§ 51.Overgangsregler

For behandling av personopplysninger som er påbegynt før loven trer i kraft og som er melde- eller konsesjonspliktig etter bestemmelsene i kapittel VI, skal det sendes melding i henhold til § 31 eller søkes om konsesjon fra Datatilsynet i henhold til § 33 innen ett år fra ikrafttredelsen. Dersom behandlingen foretas i henhold til konsesjon i medhold av personregisterloven § 9, er fristen for å sende melding eller søke om konsesjon to år fra ikrafttredelsen. Inntil melding er sendt eller Datatilsynet har gitt konsesjon, kan personopplysningene behandles i henhold til reglene i personregisterloven.
Et samtykke som en registrert har gitt før loven trer i kraft skal fremdeles gjelde, hvis det tilfredsstiller vilkårene i § 2 nr. 7.
Klager som Datatilsynet mottar etter at loven trer i kraft, behandles av Personvernnemnda
Kongen kan ved forskrift gi nærmere overgangsregler.

Vedlegg 3 Tilleggsavtale V til Hovedavtalen mellom LO og NHO –

Avtale om kontrolltiltak i bedriften

NHO og LO er enige om at denne rammeavtale skal legges til grunn ved utforming og innføring av interne kontrolltiltak samt vesentlige forandringer av eksisterende kontrollordninger i den enkelte bedrift der dette fremstår som nødvendig for virksomheten.

1. Kontrolltiltak kan ha sitt grunnlag i teknologiske, økonomiske, sikkerhets- og helsemessige omstendigheter, samt andre sosiale og organisatoriske forhold i bedriften. Tiltak som innføres skal ikke gå ut over det omfang som er nødvendig og må være saklig begrunnet i den enkelte bedrifts virksomhet og behov.

2. Alle ansatte eller grupper av ansatte skal stilles likt i forhold til den kontroll som gjennomføres i henhold til punkt 1.

3. Spørsmål om behov, utforming og innføring og vesentlig endring av interne kontroll tiltak skal drøftes med de tillitsvalgte. Bedriften skal holde de ansatte gjennom deres tillitsvalgte orientert om planer og arbeid innenfor området, slik at disse så tidlig som mulig, og før bedriftens beslutning kan gjøre sine synspunkter gjeldende.

4. Før tiltak settes i verk, skal de ansatte ha fått informasjon om tiltakenes formål og praktiske konsekvenser. Bedriftsledelsen og de tillitsvalgte skal hver for seg og i fellesskap bidra til at nødvendig informasjon blir gitt de ansatte før tiltak settes i verk.

5. I den utstrekning man ved kontrolltiltak behandler personopplysninger manuelt eller elektronisk (herunder behandler slike opplysninger i form av bilde/film, tekst, magnetbånd etc.), skal spørsmål knyttet til oppbevaringstid, lagring, makulering etc. drøftes med de tillitsvalgte og klarlegges i samsvar med personopplysningsloven med tilhørende forskrifter.

6. Kontrolltiltak utformet og innført i samsvar med denne avtales bestemmelser, kan praktisk utføres av bedriftens egne ansatte, eller det kan engasjeres frittstående virksomhet. Skal bedriften igangsette kontrolltiltak som omfattes av lov om vaktselskaper skal det benyttes godkjent vaktselskap i henhold til samme lov. Ansvaret for tiltakene påligger i alle tilfelle bedriften.

7. Dersom en av partene på den enkelte bedrift ønsker det, skal det søkes opprettet lokal avtale om utforming og gjennomføring av bedriftens kontrolltiltak, samt fastsette bruksområdet for disse. Oppnås det ikke enighet, kan hver av partene bringe saken inn for hovedorganisasjonene.

Vedlegg 4 Lag om integritetsskydd i arbetslivet (Finland)

1 § Lagens syfte

Syftet med denna lag är att i arbetslivet genomföra de grundläggande fri- och rättigheter som tryggar skydd för privatlivet och övriga grundläggande fri- och rättigheter som tryggar skyddet för den personliga integriteten samt att främja utvecklandet och iakttagandet av god informationshantering när personuppgifter behandlas i arbetslivet.

2 § Tillämpningsområde

Denna lag skall iakttas i anställningsförhållanden samt tjänsteförhållanden och i därmed jämförbara offentligrättsliga anställningar.

Vad som i denna lag föreskrivs om arbetstagare tillämpas även på tjänstemän, dem som står i tjänsteförhållande och på dem som har därmed jämförbara offentligrättsliga anställningar. Med arbetstagare avses i denna lag även en arbetssökande och med anställningsförhållande även annan anställning.

På behandling av personuppgifter tillämpas dessutom personuppgiftslagen (523/1999), om inte något annat bestäms i denna lag.

3 § Relevanskrav

Arbetsgivaren får behandla endast sådana personuppgifter som har direkt relevans för arbetstagarens anställningsförhållande och som har att göra med hanteringen av rättigheter och skyldigheter för parterna i anställningsförhållandet eller med de förmåner arbetsgivaren erbjuder arbetstagarna eller med arbetsuppgifternas särskilda natur. Avvikelser från detta kan inte göras med arbetstagarens samtycke.

4 § Insamling av arbetstagares personuppgifter samt arbetsgivares upplysningsplikt

Arbetsgivaren skall samla in personuppgifter om en arbetstagare i första hand hos arbetstagaren själv. Om arbetsgivaren samlar in personuppgifter någon annanstans än hos arbetstagaren, skall arbetstagarens samtycke till detta inhämtas. Arbetstagarens samtycke behövs dock inte, när en myndighet lämnar ut uppgifter till arbetsgivaren för att denne skall kunna utföra en uppgift som i lag ålagts arbetsgivaren eller när arbetsgivaren inhämtar personkreditupplysningar eller straffregisteruppgifter för utredning av en arbetstagares tillförlitlighet.

Arbetsgivaren skall på förhand underrätta arbetstagaren om att uppgifter samlas in för utredningav dennes tillförlitlighet. Har uppgifter om arbetstagaren samlats in någon annanstans än hos arbetstagaren själv, skall arbetsgivaren informera arbetstagaren om de uppgifter som inhämtats innan de används för beslutsfattande som gäller arbetstagaren. I fråga om arbetsgivarens upplysningsplikt och arbetstagarens rätt att kontrollera sina personuppgifter gäller dessutom vad som bestäms någon annanstans i lag.

Insamling av personuppgifter när någon anställs och under ett anställningsförhållande omfattas av samarbetsförfarandet enligt lagen om samarbete inom företag (725/1978) och lagen om samarbete inom statens ämbetsverk och inrättningar (651/1988).

5 § Person- och lämplighetsbedömningstest

För utredning av förutsättningarna för att sköta arbetsuppgifterna eller behovet av utbildning och övrig utveckling inom yrket kan arbetstagare testas genom person- och lämplighetsbedömningar. För detta krävs samtycke av arbetstagaren. När test utförs skall arbetsgivaren se till att tillförlitliga testmetoder används, att de utförs av sakkunniga och att de uppgifter som fås är korrekta med beaktande av testmetoden och dess beskaffenhet.

Arbetsgivaren eller en testare som arbetsgivaren anvisat skall på arbetstagarens begäran avgiftsfritt ge arbetstagaren det skriftliga utlåtande som givits vid person- eller lämplighetsbedömningen. Har utlåtandet givits muntligen till arbetsgivaren, skall arbetstagaren få en utredning om innehållet i utlåtandet.

6 § Anlitande av hälso- och sjukvårdstjänster

För utförande av kontroller och test som gäller arbetstagares hälsa samt för provtagningar skall yrkesutbildade personer inom hälso- och sjukvården, personer med behörig laboratorieutbildning och hälso- och sjukvårdstjänster anlitas så som föreskrivs i hälso- och sjukvårdslagstiftningen. Om skyldighet för arbetstagare att delta i kontroller och test av hälsotillståndet föreskrivs särskilt.

Vad som föreskrivs i 1 mom. gäller även alkohol- och narkotikatest.

7 § Genetisk undersökning

Arbetsgivaren får inte kräva att arbetstagaren skall delta i genetisk undersökning när han eller hon anställs eller under anställningsförhållandet och arbetsgivaren har inte rätt att få veta om arbetstagaren har genomgått en genetisk undersökning.

8 § Uppgifter om arbetstagares hälsotillstånd

Arbetsgivaren har rätt att behandla uppgifter om en arbetstagares hälsotillstånd, om uppgifterna har samlats in hos arbetstagaren själv eller med arbetstagarens skriftliga samtycke hos någon annan och behandlingen av uppgifterna behövs för utbetalning av lön för sjukdomstid eller därmed jämställbara förmåner i anslutning till hälsotillståndet eller för utredning av om det finns grundad anledning till frånvaron från arbetet eller om arbetstagaren uttryckligen önskar att hans eller hennes arbetsförmåga utreds på basis av uppgifterna om hälsotillstånd. Arbetsgivaren har dessutom rätt att behandla dessa uppgifter i sådana situationer och i en sådan omfattning som bestäms särskilt någon annanstans i lag.

Uppgifter om hälsotillstånd får behandlas endast av personer som på basis av uppgifterna bereder eller fattar beslut om ett anställningsförhållande eller verkställer dem. Arbetsgivaren skall uppge namnet på dessa personer eller fastställa de uppgifter som omfattar behandling av uppgifter om hälsotillstånd. De som behandlar uppgifter om hälsotillstånd får inte röja uppgifterna för utomstående under anställningsförhållandet eller efter att det har upphört.

Arbetsgivaren skall förvara uppgifterna om en arbetstagares hälsotillstånd åtskilda från andra personuppgifter som arbetsgivaren har samlat in.

9 § Tillvägagångssätt vid ordnande av teknisk övervakning och användning av datanät

Syftet med den tekniska övervakning av arbetstagarna som baserar sig på arbetsgivarens arbetslednings- och övervakningsrätt, ibruktagandet av den och de metoder som används samt användningen av elektronisk post och datanät omfattas av samarbetsförfarandet enligt lagen om samarbete inom företag och lagen om samarbete inom statens ämbetsverk och inrättningar. I andra företag och offentligrättsliga sammanslutningar än sådana som omfattas av samarbetslagstiftningen skall arbetsgivaren före beslutsfattandet bereda arbetstagarna eller deras representant tillfälle att bli hörda i de angelägenheter som nämns ovan.

Efter samarbetsförfarandet eller förfarandet med hörande skall arbetsgivaren definiera ändamålet med och metoderna för den tekniska övervakningen av arbetstagarna samt informera arbetstagarna om syftet med, ibruktagandet av och metoderna för den tekniska övervakningen samt om användningen av elektronisk post och datanät.

Om rätt för arbetsgivaren att använda teknisk övervakning och kontrollera användningen av elektronisk post och datanät bestäms särskilt.

Arbetsgivaren får inte genom sina åtgärder äventyra sekretessen beträffande arbetstagarens förtroliga meddelanden av privat natur i användningen av elektronisk post och datanät.

10 § Tillsyn

Arbetarskyddsmyndigheterna övervakar tillsammans med dataombudsmannen att denna lag iakttas.

11 § Framläggning

Arbetsgivaren skall hålla denna lag tillgänglig för arbetstagarna på arbetsplatserna.

12 § Straffbestämmelse

En arbetsgivare eller en företrädare för denne som uppsåtligen eller av grov oaktsamhet

1) bryter mot bestämmelserna i 4 § 2 mom. om upplysningsplikt,

2) i strid med 5 § 1 mom. testar en arbetstagare genom person- eller lämplighetsbedömningar utan dennes samtycke eller underlåter att se till att testmetoden är tillförlitlig, att testen utförs av sakkunniga eller att de uppgifter som fås genom testet är korrekta,

3) bryter mot bestämmelserna i 5 § 2 mom. om att arbetstagaren skall ges ett skriftligt utlåtande eller en utredning om innehållet i ett muntligt utlåtande,

4) i strid med 6 § anlitar annan än yrkesutbildad personal inom hälso- och sjukvården, annan än personal med behörig laboratorieutbildning eller andra än hälso- och sjukvårdstjänster,

5) i strid med 7 § kräver att en arbetstagare deltar i en genetisk undersökning eller inhämtar information om en genetisk undersökning som arbetstagaren genomgått,

6) bryter mot bestämmelserna i 9 § 2 mom. om definierings- eller informationsskyldighet, eller

7) bryter mot bestämmelserna i 11 § om framläggning av denna lag,

skall, om inte strängare straff för gärningen föreskrivs någon annanstans i lag, för brott mot lagen om integritetsskydd i arbetslivet dömas till böter.

Om straff för personregisterbrott, dataintrång, olovlig observation, olovlig avlyssning, kränkning av kommunikationshemlighet och sekretessbrott bestäms i strafflagen (39/1889).

13 § Ikraftträdande

Denna lag träder i kraft den 1 oktober 2001. De arbetsgivarskyldigheter som föreskrivs i 4 § 3 mom. och 9 § skall fullgöras inom sex månader efter ikraftträdandet.

Vedlegg 5 Lov om brug af helbredsoplysninger m.v. på arbejdsmarkedet (Danmark)

Kapitel I Lovens formål og anvendelsesområde

§ 1. Loven har til formål at sikre, at helbredsoplysninger ikke uberettiget anvendes til at begrænse lønmodtageres muligheder for at opnå eller bevare ansættelse. Dette gælder, uanset om oplysningerne hidrører fra genetiske undersøgelser, almindelige undersøgelser eller andre kilder.

Stk. 2. Loven gælder for brug af helbredsoplysninger på arbejdsmarkedet. Loven finder dog ikke anvendelse, i det omfang der i anden særlig lovgivning eller bestemmelser fastsat med hjemmel heri er fastsat regler om brug af helbredsoplysninger.

Stk. 3. Ved anmodning om og ved indhentning af helbredsoplysninger forstås i denne lov tillige foretagelse af undersøgelser, i det omfang disse er nødvendige for at tilvejebringe de pågældende helbredsoplysninger.

Kapitel II Indhentning af oplysninger

§ 2. En arbejdsgiver må i forbindelse med ansættelse eller under ansættelse af en lønmodtager alene anmode om helbredsoplysninger med det formål at få belyst, om lønmodtageren lider eller har lidt af en sygdom eller har eller har haft symptomer på en sygdom, når sygdommen vil have væsentlig betydning for lønmodtagerens arbejdsdygtighed ved det pågældende arbejde, jf. dog §§ 3-6.

Stk. 2. Arbejdsgiveren kan dog kun anmode om oplysninger, jf. stk. 1, som lønmodtageren ikke selv er bekendt med, hvis forholdene ved det pågældende arbejde særlig taler for at indhente dem.

Stk. 3. Ved anmodning om oplysninger efter stk. 1 og 2 skal arbejdsgiveren angive over for lønmodtageren, hvilke sygdomme eller symptomer på sygdomme der ønskes oplysninger om.

Stk. 4. En arbejdsgiver må ikke i forbindelse med ansættelse eller under ansættelse af en lønmodtager anmode om, indhente eller modtage og gøre brug af helbredsoplysninger med det formål at få belyst lønmodtagerens risiko for at udvikle eller pådrage sig sygdomme, jf. dog § 3.

Stk. 5. Bestemmelserne i stk. 1-4 gælder tillige for konsulenter og andre, der optræder på arbejdsgiverens vegne.

§ 3. En arbejdsgiver kan tilbyde, at der indhentes helbredsoplysninger med de formål, som er nævnt i § 2, stk. 1 og 4, hvis forhold i arbejdsmiljøet gør det rimeligt og hensigtsmæssigt af hensyn til lønmodtageren selv eller andre ansatte.

Stk. 2. Indhentning af oplysninger efter stk. 1 skal være velegnet til at forebygge arbejdsbetingede lidelser eller til forbedring af arbejdsmiljøforholdene. Arbejdsmiljølovgivningens regler og retningslinjer for undersøgelsesmetoder og brug af sagkyndige finder tilsvarende anvendelse.

Stk. 3. Arbejdsgiveren skal orientere den stedlige arbejdstilsynskreds, inden sådanne undersøgelser iværksættes. Orienteringen skal indeholde fyldestgørende oplysninger om undersøgelsen, herunder omfang, metode m.v., og om, hvem der medvirker ved og forestår undersøgelsen. Undersøgelsen må først iværksættes 4 uger efter, at orienteringen er kommet frem til arbejdstilsynskredsen.

Stk. 4. Når der iværksættes en helbredsundersøgelse, skal arbejdsgiveren

1) meddele den, der foretager undersøgelsen, alle nødvendige oplysninger til brug herfor,
2) afholde udgifterne i forbindelse med undersøgelsen og
3) sørge for, at undersøgelsen kan foregå uden tab af indtægt for lønmodtageren og så vidt muligt i arbejdstiden.

Stk. 5. Direktøren for Arbejdstilsynet kan påbyde, at en undersøgelse ikke iværksættes, eller at den standses, hvis den ikke opfylder kravene efter stk. 2.

Stk. 6. Direktørens påbud kan påklages efter samme regler som afgørelser efter arbejdsmiljøloven. Klage har dog ikke opsættende virkning for påbudet.

§ 4. Arbejdsministeren kan efter indhentet udtalelse fra det i § 8 nævnte råd tillade, at en arbejdsgiver foranlediger, at der indhentes oplysninger om, hvorvidt lønmodtagere lider af en sygdom, har symptomer på en sygdom eller frembyder smittefare, i det omfang det er nødvendigt for at tilgodese væsentlige hensyn til

1) forbrugeres eller andres sikkerhed eller sundhed,
2) det ydre miljø eller
3) andre samfundsinteresser.

Stk. 2. Det er en betingelse for at indhente helbredsoplysningerne, at det pågældende hensyn klart overstiger hensynet til lønmodtageren, og at det ikke er muligt for virksomheden at tilgodese hensynet på anden måde.

Stk. 3. En helbredsundersøgelse skal foretages ved anvendelse af den mindst indgribende metode, som kan opfylde formålet.

Stk. 4. § 3, stk. 4, finder tilsvarende anvendelse.

§ 5. En arbejdsgiver kan foranledige, at der indhentes oplysninger om, hvorvidt lønmodtagere lider af en sygdom, har symptomer på en sygdom eller frembyder smittefare, når det er nødvendigt for at tilgodese væsentlige hensyn til virksomhedens drift, jf. dog stk. 2.

Stk. 2. Det er en betingelse, at arbejdsgiveren eller dennes organisation indgår aftale herom med den eller de modstående lønmodtagerorganisationer, jf. dog stk. 3. En aftale skal sendes til arbejdsministeren til orientering.

Stk. 3. I tilfælde, hvor der ikke kan indgås aftale efter stk. 2, kan arbejdsministeren efter indhentet udtalelse fra det i § 8 nævnte råd give tilladelse til indhentning af helbredsoplysningerne.

Stk. 4. § 3, stk. 4, og § 4, stk. 2 og 3, finder tilsvarende anvendelse.

Kapitel III Lønmodtagerens oplysningspligt

§ 6. En lønmodtager skal inden ansættelsen af egen drift eller på spørgsmål derom fra arbejdsgiveren oplyse, om lønmodtageren er bekendt med at lide af en sygdom eller har symptomer på en sygdom, som vil have væsentlig betydning for lønmodtagerens arbejdsdygtighed ved det pågældende arbejde.

§ 7. Hvis arbejdsgiveren på grundlag af oplysninger, der er indhentet i medfør af § 4 og § 5, bør gennemføre foranstaltninger i forbindelse med arbejdet eller foretage andre dispositioner, skal lønmodtageren sørge for, at arbejdsgiveren underrettes herom.

Kapitel IV Det sagkyndige råd

§ 8. Arbejdsministeren nedsætter et råd, der udtaler sig efter anmodning fra ministeren eller af egen drift i sager, som sendes til ministeren i henhold til § 4, stk. 1, og § 5, stk. 2 og 3.

Stk. 2. Arbejdsministeren udpeger rådets formand. Rådet består herudover af 16 medlemmer, der udpeges af arbejdsministeren efter indstilling fra følgende myndigheder og organisationer:

1 repræsentant for Arbejdsministeriet,

1 repræsentant for Arbejdsmiljøinstituttet,

1 repræsentant for Det Etiske Råd,

1 repræsentant for Direktoratet for Arbejdstilsynet,

1 repræsentant for Erhvervsministeriet,

1 repræsentant for Den almindelige danske Lægeforening,

1 repræsentant for Justitsministeriet,

1 repræsentant for Sundhedsstyrelsen,

1 repræsentant for Akademikernes Centralorganisation,

1 repræsentant for Funktionærernes og Tjenestemændenes Fællesråd,

1 repræsentant for Ledernes Hovedorganisation,

1 repræsentant for Landsorganisationen i Danmark,

1 repræsentant for Dansk Arbejdsgiverforening,

1 repræsentant for Finansministeriet, Kommunernes Landsforening og Amtsrådsforeningen i Danmark i forening,

1 repræsentant for Finanssektorens Arbejdsgiverforening og

1 repræsentant for Sammenslutningen af Landbrugets Arbejdsgivere.

Stk. 3. Medlemmerne udpeges for 3 år ad gangen. Genudpegelse kan finde sted.

Stk. 4. Rådet fastsætter selv sin forretningsorden.

Kapitel V Informeret samtykke

§ 9. Før der foretages en undersøgelse med de i § 2, stk. 1 og 4, jf. § 3, nævnte formål, skal den, der foretager undersøgelsen, sikre sig, at lønmodtageren er skriftligt og mundtligt informeret om

1) undersøgelsens formål og art,
2) undersøgelsens metode,
3) eventuelle risici, der er forbundet med undersøgelsen,
4) de eventuelle konsekvenser, som undersøgelsens resultater kan få for lønmodtageren,
5) karakteren af de oplysninger, som kan fremkomme ved undersøgelsen, herunder om størrelsen af risikoen for fremtidig sygdom m.v.,
6) betingelserne for videregivelse af oplysninger, jf. §§ 7 og 11,
7) undersøgelsens opfølgning, herunder om underretning af arbejdsgiveren,
8) hvordan undersøgelsens resultater skal opbevares,
9) hvor undersøgelsens karakter gør det naturligt, også muligheden for, at et undersøgelsesresultat kan indvirke på den undersøgtes livsforventning og selvopfattelse.

Stk. 2. Før undersøgelsen foretages, skal arbejdsgiveren sørge for, at lønmodtageren er informeret om de eventuelle konsekvenser, som et afslag på at lade sig undersøge kan få for lønmodtageren.

Stk. 3. Undersøgelsen må kun foretages, når lønmodtageren skriftligt har givet sit samtykke dertil. Lønmodtageren skal have en frist på mindst 2 arbejdsdage efter at have fået information som nævnt i stk. 1 til at give samtykke.

Stk. 4. Hvis lønmodtageren udtrykkeligt ønsker begrænsninger i oplysningerne om vurderingen af, hvilke konsekvenser undersøgelsens resultater får for lønmodtageren, eller om undersøgelsen indvirker på den undersøgtes livsforventning og selvopfattelse, skal den, der informerer lønmodtageren om undersøgelsens resultat og fortolkning efter § 10, stk. 4, respektere dette.

Kapitel VI Sagkyndige

§ 10. Anmodning om foretagelse af undersøgelser i medfør af §§ 2, 4 og 5 skal gennem lønmodtageren og efter lønmodtagerens valg rettes enten til en praktiserende læge, som den pågældende lønmodtager sædvanligvis benytter, eller til en tilsvarende sagkyndig i den bedriftssundhedstjeneste, som virksomheden måtte være tilsluttet.

Stk. 2. Den, der modtager anmodningen, skal inddrage den nødvendige og tilstrækkelig kvalificerede lægelige eller anden sagkundskab, herunder arbejdsmedicinsk, klinisk-kemisk, genetisk eller biokemisk sagkundskab, såvel til udførelse af selve undersøgelsen som i forbindelse med fortolkningen af kliniske konsekvenser af undersøgelsen.

Stk. 3. Den, der på grundlag af en undersøgelse afgiver erklæring om en lønmodtagers helbredstilstand og risiko for at udvikle eller pådrage sig sygdomme, skal samtidig give en vurdering, der belyser graden af usikkerhed ved fortolkningen af sådanne undersøgelser.

Stk. 4. Erklæring om en undersøgelses resultater skal videregives til lønmodtageren af den, der har modtaget anmodningen efter stk. 1, jf. dog § 9, stk. 4.

Kapitel VII Tavshedspligt m.v.

§ 11. Læger, klinikker, laboratorier, offentlige myndigheder m.v. må ikke videregive helbredsoplysninger omfattet af denne lov til andre end den person, som oplysningerne angår, jf. dog stk. 2.

Stk. 2. Videregivelse af de i stk. 1 nævnte oplysninger kan dog ske, i det omfang det er nødvendigt for at opfylde formålet. Det er endvidere en betingelse, at videregivelsen

1) følger af anden særlig lov eller bestemmelser fastsat med hjemmel heri,
2) sker til brug for forskning med den pågældende persons samtykke eller
3) er nødvendig for at afværge risici af den karakter, som er nævnt i § 4, stk. 1.

Stk. 3. Arbejdsgiveren må ikke anmode om eller modtage og gøre brug af fuldmagt til indhentning af helbredsoplysninger.

Kapitel VIII Sanktioner

§ 12. Personer, hvis rettigheder er krænkede ved overtrædelse af §§ 2 og 9, kan tilkendes en godtgørelse.

§ 13. Den, der overtræder § 2, § 3, stk. 3, eller §§ 9-11 straffes med bøde, medmindre højere straf er forskyldt efter anden lovgivning.

§ 14. Er en overtrædelse begået af et selskab, en forening, en selvejende institution, en fond eller lignende, kan bødeansvar pålægges den juridiske person som sådan. Er overtrædelsen begået af staten, en kommune eller et kommunalt fællesskab, jf. § 60 i lov om kommunernes styrelse, kan bødeansvar pålægges staten, kommunen eller det kommunale fællesskab som sådan.

Kapitel IX Ikrafttræden

§ 15. Loven gælder ikke for Færøerne og Grønland.

§ 16. Loven træder i kraft den 1. juli 1996.

Vedlegg 6 Förslag till Lag om skydd för personlig integritet i arbetslivet (Sverige)

Syftet med lagen

1 § Syftet med denna lag är att med utgångspunkt ipersonuppgiftslagen (1998:204) stärka skyddet för den personliga integriteten i arbetslivet.

Lagens tillämpningsområde

2 § Lagen tillämpas på arbetsgivares dokumenterade behandling av arbetstagares och arbetssökandes personuppgifter. Med arbetstagare förstås i förekommande fall även tidigare arbetstagare. Vid all behandling av personuppgifter som omfattas av denna lag tillämpas även 7–9 §§ personuppgiftslagen.

Om det i en annan lag än personuppgiftslagen eller i en förordning finns bestämmelser som avviker från denna lag, skall de bestämmelserna gälla.

Privat e-post och andra privata elektroniska uppgifter

3 § En arbetsgivare får inte avsiktligt ta del av en arbetstagares privata e-post eller andra privata elektroniska uppgifter.

Första stycket gäller inte om arbetstagaren har lämnat sitt samtycke till åtgärden.

Första stycket gäller inte heller om åtgärden är nödvändig för arbetsgivarens verksamhet. Vid bedömningen härav skall särskilt beaktas om det föreligger fara för informationssäkerheten eller om det finns skälig misstanke att arbetstagaren har gjort sig skyldig till brott vid användning av arbetsgivarens elektroniska utrustning eller till sådant illojalt beteende som kan utgöra saklig grund för uppsägning eller föranleda skadeståndsskyldighet.

Loggning

4 § I fråga om behandling av personuppgifter om arbetstagare som har samlats in helt eller delvis automatiserat (loggning) gäller vad som föreskrivs i personuppgiftslagen.

Personuppgifter om hälsa och droganvändning

5 § En arbetsgivare får inte behandla personuppgifter om en arbetstagares eller en arbetssökandes hälsa eller droganvändning.

Första stycket gäller inte om behandlingen är nödvändig för att bedöma om arbetstagaren eller arbetssökanden är lämpad för att utföra arbetsuppgifter i arbetsgivarens verksamhet eller för att bedöma arbetstagarens rätt till förmåner om arbetstagaren har begärt detta.

Hälsoundersökningar och drogtester

Genomförandet av hälsoundersökningar

6 § En arbetsgivare skall tillse att hälsoundersökningar avseende arbetstagare eller arbetssökande bara genomförs av personal innom hälso- och sjukvården eller under överinseende av sådan personal.

Genomförandet av drogtester

7 § En arbetsgivare skall tillse att drogtester avseende arbetstagare eller arbetssökande bara genomförs med metoder som är tillförlitliga.

Arbetsgivaren skall därvid tillse att andra prover än utandningsprov bara tas av personal inom hälso- och sjukvården eller under överinseende av sådan personal samt att proven analyseras av ett laboratorium som är ackrediterat enligt lagen (1992:1119) om teknisk kontroll.

Personlighetstester

8 § En arbetsgivare får inte behandla personuppgifter om en arbetstagare eller en arbetssökande som har hämtats in genom ett personlighetstest annat än med samtycke.

Arbetsgivaren skall tillse att personlighetstester bara genomförs på ett betryggande sätt med testinstrument som är tillförlitliga och av personer med adekvat utbildning.

Personuppgifter om lagöverträdelser m.m.

9 § En arbetsgivare får inte behandla personuppgifter om lagöverträdelser avseende arbetstagare eller arbetssökande som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Första stycket gäller inte om behandlingen är nödvändig för att bedöma arbetstagarens eller arbetssökandens tillförlitlighet med hänsyn till säkerheten för det allmänna eller för arbetsgivarens verksamhet.

Om behandlingen sker helt eller delvis automatiserat eller i registerform skall även 21 § personuppgiftslagen gälla.

Inhämtande av personuppgifter

10 § En arbetsgivare skall i första hand hämta in sådana personuppgifter som avses i 5 och 9 §§ från arbetstagaren eller arbetssökanden själv. Bara om detta inte är möjligt och under förutsättning av arbetstagarens eller arbetssökandens samtycke, får arbetsgivaren hämta in sådana personuppgifter från någon annan källa.

Förvaring av personuppgifter

11 § En arbetsgivare skall förvara sådana personuppgifter som avses i 3, 5, 8 och 9 §§ på ett betryggande sätt och åtskilda från övriga personuppgifter. Dessa personuppgifter får bara behandlas av en begränsad krets av personer.

Om behandlingen sker helt eller delvis automatiserat eller i registerform skall även 30 och 31 §§ personuppgiftslagen gälla.

Information

12 § En arbetsgivare skall utan dröjsmål lämna information om sådana personuppgifter om en arbetstagare eller en arbetssökande som arbetsgivaren behandlar och om ändamålen med behandlingen.

Om behandlingen sker helt eller delvis automatiserat eller i registerform skall 23–27 §§ personuppgiftslagen gälla.

Rättelse

13 § En arbetsgivare skall utan dröjsmål rätta eller utplåna sådana personuppgifter om en arbetstagare eller en arbetssökande som inte har behandlats enligt denna lag eller enligt föreskrifter som har utfärdats med stöd av lagen.

Om behandlingen sker helt eller delvis automatiserat eller i registerform skall 28 § personuppgiftslagen gälla.

Tystnadsplikt

14 § Den som hos en arbetsgivare med privat verksamhet behandlar eller har behandlat sådana personuppgifter som avses i 3–5, 8 och 9 §§ får inte obehörigen röja eller utnyttja vad som därvid kommit fram.

MBL-förhandling

15 § I fråga om arbetsgivarens skyldighet att förhandla före beslut som rör verksamheten gäller 11–14 §§ lagen (1976:580) om medbestämmande i arbetslivet.

Skadestånd

16 § En arbetsgivare skall ersätta en arbetstagare eller en arbetssökande för skada och kränkning av den personliga integriteten som en behandling i strid med denna lag har orsakat. Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om arbetsgivaren visar att felet inte berodde på arbetsgivaren.

Straff

17 § Till böter eller fängelse i högst sex månader eller, om brottet är grovt, till fängelse i högst två år döms den som uppsåtligen eller av oaktsamhet behandlar personuppgifter i strid med 5 §. Första stycket gäller endast behandling som sker helt eller delvis automatiserat eller i registerform.

Överklagande av myndighetsbeslut

18 § En myndighets beslut om att inte lämna information eller meddela rättelse enligt 12 och 13 §§ får överklagas hos allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.

Rättegången

19 § Mål om tillämpningen av denna lag skall, utom i fall som avses i 17 och 18 §§, handläggas enligt lagen (1974:371) om rättegången i arbetstvister. Därvid anses som arbetstagare också arbetssökande och som arbetsgivare också den som någon har sökt arbete hos.

Innhold

Innledning

Underutvalgets mandat sammensetning og arbeid

Oversikt over rapporten

Tema og utgangspunkter

Internasjonal rett

Innledning

Den europeiske menneskerettighetskonvensjon mm

ILOs Code of Conduct

Bakgrunn, virkeområde mm

3.4.2 Formål, grunnleggende prinsipper og materielle regler

I hvilken grad stenger direktivet for nasjonal særlovgivning?

Forholdet mellom personverndirektivet og regulering ved tariffavtaler

Nordisk rett

Innledning

Den finske loven om integritetsvern i arbeidslivet11

Den danske loven om bruk av helbredsopplysninger13

Den svenske Integritetsutredningen med forslag til ny lov16

Oversikt over rettstilstanden i Norge

Innledning

Arbeidsrettslige utgangspunkter

Grunnlaget for arbeidsgivers adgang til kontrolltiltak

Yttergrensene for kontrolltiltak. Saklighet og forholdsmessighet.

Plikt til kontroll etter lov, forskrift eller forvaltningsvedtak

Skranker for adgangen til kontroll

Generelt

Ulovfestede arbeidsrettslige prinsipper. Rettspraksis

Tariffavtaler - Tilleggsavtale V til Hovedavtalen mellom LO/NHO

Personopplysningsloven

Bakgrunn

Personopplysningslovens virkeområde

Vilkårene for å behandle personopplysninger

Særlige spørsmål som personopplysningsloven reiser i arbeidsforhold

Kasuistikk

Generelt

Ansettelsesprosessen

Helseopplysninger og rusmiddeltesting

Generelt

Graviditet

HIV - AIDS

Sandmanutvalget

Kroppsvisitasjoner og ransaking mv

Personlige brev

Bruk av datamaskiner, Internett og e-post

Generelt

Datalogger

E-post og private dokumenter

Kontroll av telefonbruk

Tidsregistrering

Fjernsynsovervåking

Oversikt

Virkeområdet for de særlige reglene om fjernsynsovervåking

Grunnkrav for å drive visse former for fjernsynsovervåking

Utlevering av billedopptak fra fjernsynsovervåking

Varsling av fjernsynsovervåking

Privatøkonomiske forhold og bierverv

Produksjonskontroll

Kontrolltiltak ved konkret mistanke om misligheter

Oppsummering

Underutvalgets vurderinger – disposisjon

Vurdering av rettstilstanden

Adgangen til å foreta kontroll

Behandling av personopplysninger om ansatte

Forholdet mellom de arbeidsrettslige prinsipper for kontroll og personopplysningsloven

Problemstillingen

Personopplysningsloven § 8 og 9 - særlig i forhold til ordinær personaladministrasjon

Generelt om behovet for ny regulering

Regulatoriske spørsmål – plassering av regler

Innledning

Reguleringsform – lov eller tariffavtale?

Innledning

Gjennomføring av personverndirektivet ved tariffavtaler

Regulering av kontrollbestemmelser ved tariffavtale – partenes spillerom

Alternative skisser for plassering av bestemmelser

Innledning

Plassering av bestemmelser i arbeidsmiljøloven (ny arbeidslivslov)

Plassering av bestemmelser i personopplysningsloven

Kombinerte løsninger

Plassering av bestemmelser i egen lov

Særlig om regulering i lov og eller forskrift

Den finske loven om integritetsvern i arbeidslivet¹¹

Den danske loven om bruk av helbredsopplysninger¹³

Den svenske Integritetsutredningen med forslag til ny lov¹⁶