Kameraovervåking, GPS, elektroniske kjørebøker, koder for å lukke opp dører og detaljert kartlegging av de ansattes prestasjoner er alle kjente teknikker for å kontrollere, og i verste fall overvåke de ansatte på en arbeidsplass. Disse små eksemplene er hentet fra Datatilsynets statistikk over henvendelser knytta til personvern i arbeidslivet.

De siste årene har vi mottatt flere tusen henvendelser fra folk som reagerer på et eller annet kontrolltiltak. Av rundt 8 500 henvendelser vi mottar til vår juridiske veiledningstjeneste, dreier omtrent 20 prosent seg om arbeidsliv. Henvendelsene kan grovt oppsummeres i disse underkategoriene:

• GPS og sporing av arbeidstagere.

• Innsyn i, og mangelfull sletting av, arbeidstagernes epost-kontorer.

• Direkte overvåking, som for eksempel kameraovervåking.

Dessverre er det flest arbeidstagere som tar kontakt. Ikke sånn å forstå at de ikke er velkommen til å få råd fra Datatilsynet, men det aller beste er at arbeidsgivere tar kontakt før de innføres kontrolltiltak, slik at det blir gjort riktig fra starten av. I statistikken for 2013 så vi dessverre at antallet henvendelser fra arbeidsgivere sank prosentvis, og det er en nedslående utvikling. Den fortsatte første halvår 2014, da omtrent 4 av 5 henvendelser kom fra arbeidstager.

Reglene er enkle

Hvorfor ser vi denne økningen i antall henvendelser knyttet til personvern i arbeidslivet? Det henger sammen med flere forhold. For det første er ulike typer kontrollteknologi blitt billigere, mer tilgjengelig og mer brukervennlig. Et kamera med HD-kvalitet og mulighet for lydopptak og fjernstyring koster i dag ikke mange tusen kroner. Faktorene som er nevnt over, bidrar til press mot personvernet og fører til mer, og ofte ulovlig overvåking. Dessuten er det mangel på kunnskap hos arbeidsgiverne om hvordan de skal gå fram for å innføre kontrolltiltak, kanskje tenker de ikke engang på tiltaket som en form for kontroll, og dermed setter de i gang med innføringen uten å følge reglene.

Og reglene er egentlig ganske enkle. De kan deles i fire:

• Tiltaket skal ha et klart formål, og arbeidsgivers interesser må overstige arbeidstagerens.

• Tiltaket skal drøftes med de tillitsvalgte.

• De ansatte skal informeres.

• Og endelig, etter en periode skal tiltaket evalueres.

Grove krenkelser

Datatilsynet har behandlet mange saker som gjelder krenkelser av personvernet i arbeidslivet. Mest kjent er kanskje den såkalte Avfallsservice-saken, som gikk helt til Høyesterett. Det dreide seg om et firma som installerte en kjørebok der formålet var å optimalisere driften i virksomheten. Da de fikk mistenke om at ansatte jukset med timelistene, koblet de data fra systemet opp mot overtidslistene. De benyttet altså dataene til et helt nytt formål. Datatilsynet mente dette var ulovlig, og fikk medhold. I senere saker har firmaer som har drevet ulovlig sammenstilling av data, også blitt ilagt overtredelsesgebyr av tilsynet.

Vi har også behandlet flere saker som gjelder innsyn i epost. Dette er alvorlige saker, og vi ser på det som en grov krenkelse av den ansattes personvern. Typisk gjelder det saker der leder får videresendt epost til den ansatte til sin epostkasse. I disse sakene reagerer Datatilsynet som den store hovedregel med overtredelsesgebyr på 75 000 kroner. En annen gjenganger er at arbeidsgiver ikke avslutter epostkassen til den ansatte når hun slutter. I tillegg skal innholdet også slettes etter en ikke altfor lang periode, men her kan det være behov for at arbeidsgiver får noe tid på å områ seg. Men skal det gjøres innsyn, må de strenge reglene i personopplysningsforskriften følges.

Bruk sunn fornuft

Hvorfor har vi så stor oppmerksomhet på personvern i arbeidslivet? Det er selvsagt flere grunner til det. For det første angår det nesten alle borgere i landet. Arbeidsplassen har stor betydning for livet vårt, for vår trivsel og vår utvikling, og vi bruker mye tid på jobben. Vi står også i et avhengighetsforhold til sjefen, noe som gjør at den enkelte kanskje føler seg presset til å godta overvåking.

Hva skal vi så gjøre for å bedre situasjonen? Og er det behov for å endre regelverket? Jeg tror dette først og fremst handler om kunnskap og holdninger hos arbeidsgiver. Vi har klare regler om innføring av kontrolltiltak, i tillegg er det egne bestemmelser om personvern og kontrolltiltak i Hovedavtalen. Vi sitter imidlertid med et bestemt inntrykk av at kunnskapsnivået hos arbeidsgivere er gjennomgående lavt. Særlig synd er det ettersom de reglene jeg gjennomgikk ovenfor, i stor grad er bygd på alminnelig fornuft og logikk: Man tar med folk på råd. Man spør før man kontrollerer. Man sjekker i etterkant om det man gjør faktisk virker.

Men også arbeidstager har et ansvar for å følge med. Ofte opplever vi at de ringer oss omtrent når kamera er i ferd med å bli montert opp, for å si det litt spissformulert. Men å sørge for å være organisert, ha en fagforening på jobben og ikke minst ta opp ting man er misfornøyd med, er viktig for å ivareta de ansattes personvern. Kunnskap om regelverket, og hvordan man skal gå fram for å protestere er også viktig.

Personvernombud

Bildet er selvsagt ikke helsvart. I en del tilfeller ser vi at partene kommer sammen i gode løsninger begge er fornøyd med. Et innslag av kontroll kan føre til trygghet, og det kan også bidra til å dokumentere at arbeidstager ikke har gjort noe galt, for eksempel at bussjåføren ikke bråbremset da den gamle damen falt og brakk beinet. Jevnt over er dialog av det gode, og de arbeidsplassene som lykkes godt her, finner også gode løsninger for personvernet.

Snart kommet et nytt regelverk om personvern fra EU. Her blir arbeidstagers personvern i arbeidslivet foreslått styrket på flere områder. Det foreslås blant annet at langt flere virksomheter enn i dag må ha et såkalt personvernombud. Dette er personvernets spydspiss inn i virksomhetene, og de skal påse at regelverket følges, også når det gjelder innføring av kontrolltiltak. Etter dagens lov er det krav om at det gjennomføres såkalte risikoanalyser når det behandles data, man skal vurdere hva som kan gå galt, og hva resultatet blir hvis det skjer. I forordningen foreslås det en særlig skjerpet risikoanalyse dersom det håndteres store mengder data om de ansatte.

Til slutt vil jeg nevne at det på Datatilsynet hjemmesider finnes mye informasjon om personvern i arbeidslivet. De sakstypene jeg har nevnt ai denne artikkelen, er kun noen av de sakstypene vi behandler, og det er nok dessverre slik at det antall saker vi får inn, bare er toppen av et stort isfjell.

Bjørn Erik Thon,

direktør i Datatilsynet