Dette innlegget er eit innspel til debatten om forskrift om overvaking i arbeidslivet vs. behovet for god informasjonssikring. Innspelet sto på trykk i Dagens Næringsliv 8. februar 2023, og dette er ein forlengd versjon.
Personvernet vil lide dersom ei verksemd lar vere å innføre informasjonssikringstiltak.
Forbodet mot å overvake arbeidstakarars bruk av elektronisk utstyr ligg bortgøymt i ei ufullstendig forskrift. Datatilsynet har tatt initiativ overfor fleire departement for å løfte utfordringane med forskrifta. I mellomtida gjer vi det vi kan for å rettleie verksemder og arbeidstakarar.
Forskrifta med det noko misvisande namnet «forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk materiale» inneheld eit forbod mot å overvake arbeidstakarars bruk av elektronisk utstyr, i andre avsnitt av paragraf 2. Når Datatilsynet møter bedrifter og offentlege aktørar, merkar vi at mange ikkje har høyrt om dette overvakingsforbodet. Vi er glade for at advokatane ved Thommessen har løfta dette ut av ekspertsirklane og over i ein offentleg debatt. Vi ønskjer å kome med vårt perspektiv i samtalen.
Vi er einig med advokatane ved Thommessen i at det er på tide å revidere den nemnde forskrifta. På grunnlag av erfaringane vi har gjort oss sidan forskrifta kom i 2018, føreslo vi i fjor endringar for Arbeids- og inkluderingsdepartementet. Vi har også tatt initiativ overfor både Justisdepartementet og Kommunal- og distriktsdepartementet for å løfte utfordringane med forskrifta. I denne dialogen er overvakingsforbodet eit sentralt tema. Medan endringsforslaga ligg hos lovgjevarane, vil vi i Datatilsynet gjere det vi kan, ved å rettleie verksemder og arbeidstakarar.
Formålet med forbodet i forskrifta er å gje norske arbeidstakarar eit større vern mot å bli overvaka av sjefen enn det som følgjer av den europeiske personvernforordninga (GDPR). Overvaking som skjer med formål å avdekkje eller oppklare «sikkerhetsbrudd i nettverket» er likevel tillate etter forskrifta, som eitt av to unntak. Vi støttar advokat Vanebos oppfatning om at verksemder kan gjennomføre viktige informasjonssikringstiltak innanfor dagens regelverk.
Personvernet vil lide dersom ei verksemd lar vere å innføre informasjonssikringstiltak. Eit eksempel kan vere logging for å oppklare cyberangrep, fordi leiinga er usikre på om tiltaket er lovleg. Informasjonssikringstiltak tryggjer ikkje berre viktige verdiar for verksemdene, men også personopplysningane til tilsette, kundar, innbyggjarar og leverandørar. Informasjonssikring er påbode i GDPR, for å sikre at personopplysningar er tilgjengelege for dei som treng dei når dei treng dei og for at integriteten blir ivaretatt.
Datatilsynet arbeider med rettleiing
Vi arbeider allereie med eit utkast til rettleiing på Datatilsynet.no om overvakingsforbodet i e-postforskrifta paragraf 2. Der vil vi gje praktiske eksempel på korleis verksemder kan gå fram for å gjennomføre informasjonssikring, som inneber overvaking av arbeidstakarar.
Det vanskelegaste spørsmålet for oss er likevel kor grensa går for overvaking, når formålet ikkje er relatert til drift eller sikkerheit. Kor mykje kan ein leiar følgje med på arbeidsaktiviteten til dei tilsette før det blir rekna som overvaking? Arbeidsgjevarar kan ha mange andre gode formål enn informasjonssikring, for eksempel ressursallokering. Dersom ei slik kartlegging blir rekna som overvaking, er kartlegginga forbode etter dagens forskrift.
Dei siste åra har mange nye verkty kome på marknaden, som hentar inn store mengder informasjon, som analyserer korleis dei tilsette arbeider. Vi treng å drøfte konsekvensane av å bruke slike verkty i fellesskap. Planen er derfor at Datatilsynet skal leggje utkastet til rettleiar på høyring, slik at alle som ønskjer kan gje innspel.
Meir praktisk og relevant rettleiing er ein sentral del av Datatilsynets nye satsing. Vi vil i løpet av våren ta kontakt med ei rekkje aktørar for å få høyre kva vi i Datatilsynet kan gjere for at aktørane på enklast mogleg måte kan overhalde personvernreglane.
Heilt til slutt minner vi om at arbeidsgjevarane må følgje reglane i GDPR , sjølv om eit informasjonssikringstiltak er innanfor unntaket om sikkerheitsbrot i e-postforskrifta. Dagens tips til verksemder som ønskjer å ta i bruk teknologi som kartlegg tilsette er
- Vurder personvernkonsekvensane for dei tilsette (GDPR art. 35)
- Gi god informasjon til dei tilsette