Alle som behandler personopplysninger må opptre i samsvar med personvernprinsippene. At behandlingen av personopplysninger må være lovlig, innebærer først og fremst at det må finnes et rettslig grunnlag for en planlagt behandling av personopplysninger.

 

Kontroll og overvåking

Kontroll og overvåking av ansatte handler i hovedsak om to motstridende interesser på arbeidsplassen: arbeidsgiverens ønske om og behov for kontroll- tiltak og arbeidstakerens arbeidsmiljø og personverninteresser. EUs personvernforordning (GDPR), som er gjort til norsk lov gjennom personopplysningsloven, regulerer innsamling og bruk av personopplysninger. I dagens digitaliserte arbeidsliv vil innføring av de fleste kontrolltiltak føre til at det samles inn og behandles personopplysninger. Dette innebærer at både personvernregelverket og arbeidsmiljøregelverket må etterleves samtidig.

 

Personvern2 komp

Personvernforordningen har en liste over rettslige grunnlag og minst ett av disse må være oppfylt for at behandlingen skal være lovlig. Prinsippet om lovlighet kan også sies å inkludere alle de øvrige prinsippene og reglene for behandling av personopplysninger som en behandlingsansvarlig må oppfylle. Datatilsynet har utarbeidet  en veileder, der du kan lese mer om behandlingsgrunnlag ved behandling av personopplysninger.

Arbeidsmiljøloven kapittel 9 omhandler kontrolltiltak i virksomheten.

 

Her finner du relevante linker

 

 

Virksomhetens plikter er følgende

  1. Fastsette formålet med lagring av personopplysninger
  2. Sørge for informasjon til alle ansatte om hvorfor og hvordan personopplysninger lagres
  3. Legge til rette for innsyn ved forespørsel fra ansatte/kunde
  4. Ha rutiner for retting og sletting
  5. Vurdere om du som arbeidsgiver må ha et personvernombud. Du kan benytte veileder til Datatilsynet.
  6. Som arbeidsgiver må du kartlegge og risikovurdere. Her kan du benytte Sjekkliste for vurdering av personvernkonsekvenser (DPIA). Du finner denne i vår dokumentbank under personvern.
  7. Benytt systemer som har innebygd personvern
  8. Ha et internkontrollsystem. Det er ikke nødvendig eller hensiktsmessig å etablere en egen internkontroll for personvernregelverket dersom dere allerede har en internkontroll for andre regelverk eller for andre formål. Dere bør heller sørge for å utvide det eksisterende systemet med det som er påkrevd etter personvernregelverket.
  9. Du må ha en protokoll over behandlingsaktiviteter. Denne kan lastes ned i dokumentbank
  10. Det må vurderes om du må ha en databehandleravtale. Alle virksomheter som benytter seg av en underleverandør har plikt til å ha en databehandleravtale.
  11. Du må ha et system for å håndtere avvik. Alvorlige avvik skal rapporteres innen 72 timer til Datatilsynet.


Ofte stilte spørsmål

Hva er en behandlingsansvarlig?

Behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Dette er vanligvis en virksomhet.

 

Den behandlingsansvarlige (virksomheten) må derfor sørge for å etablere alle nødvendige organisatoriske og tekniske tiltak for å sikre at regelverket etterleves til enhver tid. Den behandlingsansvarlige må kunne vise at den opptrer i samsvar med reglene.

Hvilke ansatte i virksomheten skal ha tilgang til mine ansatt opplysninger?

Det er kun de medarbeiderne i virksomheten som har et tjenstlig behov  som skal ha tilgang til dine personopplysninger.

 

Det betyr at medarbeidere som ikke har en saklig grunn til å se opplysningene, heller ikke skal ha tilgang. Dette er ikke til hinder for at medarbeideres kalendre er synlige for alle innad på en arbeidsplass, forutsatt at alle medarbeiderne er klar over dette.

Er det lov å overvåke arbeidsplassen med kamera?

Kameraovervåking på arbeidsplassen er som hovedregel bare tillatt når dette er nødvendig for å forebygge og avdekke straffbare forhold eller for å verne om liv og helse. En arbeidsgiver kan ikke overvåke toaletter, garderober eller pauserom.

 

For at slike overvåkingstiltak skal være lovlige må en rekke krav i både arbeidsmiljøloven og personvernforordningen være oppfylt. Innføring av overvåkingstiltak i virksomhetens kjøretøyer anses normalt som et kontrolltiltak, og kravene i arbeidsmiljøloven §§ 9-1 og 9-2 om kontrolltiltak vil da gjelde. Arbeidsgivere har plikt til å gi ansatte god informasjon og innføring av kontrolltiltak skal drøftes med ansatt representant/verneombud etc.

 

Det vil særlig bety å gi god informasjon om hva som er formålet med overvåkingen. Formålet skal være spesifisert og uttrykkelig angitt. Hva som er formålet vil være styrende for hva informasjonen kan brukes til. Innsamlede opplysninger kan ikke brukes til nye, uforenelige formål.

Kan arbeidsgiver benytte GPS sporingssystem i våre firmabiler?

Dette spørsmålet kan ikke enkelt svares ja eller nei uten mer informasjon. Arbeidsgivere som bruker GPS teknologi samler inn både opplysninger om selve kjøretøyet og opplysninger om den enkelte ansatte som bruker kjøretøyet. Opplysningene vil typisk kunne omfatte kjøretøyets (og dermed den ansattes) geografiske posisjon. Det må finnes rettslig grunnlag for at behandlingen skal være lovlig. 

 

Det er særlig to rettslige grunnlag som kan være aktuelle i denne sammenhengen.

 

  1. Din arbeidsgiver kan være forpliktet til å installere sporingsteknologi for å overholde sine rettslige forpliktelser, for eksempel lovbestemte krav til kjøre- og hviletid, skatteregler og/eller sikkerhet for den ansatte.
  1. Din arbeidsgiver kan også ha en såkalt berettiget interesse i å lokalisere kjøretøyene. Interessen kan være å effektivisere driften av vognparken for eksempel gjennom driftsplanlegging i sanntid, såkalt flåtestyring. Sporingssystem kan også være innført av hensyn til den ansattes sikkerhet eller sikring av varer og kjøretøy.

 

Selv om din arbeidsgiver har en berettiget interesse må det først vurderes om behandlingen for slike formål er nødvendig, om hensynet til arbeidsgivers interesse går foran arbeidstakers interesser og om den faktiske implementeringen er i overensstemmelse med prinsippene om dataminimering og proporsjonalitet.

 

Du kan lese mer om personvernprinsippene på datatilsynet sine nettsider. Innføring av kontrolltiltak skal drøftes med ansatt representant/verneombud etc. og evalueres jevnlig.

Jeg ønsker å sette meg mer inn i hva som menes med kontroll og overvåking i arbeidslivet. Hvor kan jeg finne mer informasjon?

Jeg ønsker å sette meg mer inn i hva som menes med kontroll og overvåking i arbeidslivet. Hvor kan jeg finne mer informasjon?

 

Arbeidstilsynet, Datatilsynet, Petroleumstilsynet og partene i arbeidslivet har utarbeidet en enkel veileder der du finner mye god informasjon. Du finner denne i vår dokumentbank (se under).


Skjemaer og maler

 

Logg inn eller få brukertilgang for å laste ned vedlegg

  • pdf icon Veileder om kontroll og overvaking i arbeidslivet
  • Last ned grønn Sjekkliste for vurdering av personvernkonsekvenser (DPIA)
  • Last ned grønn Personvernerklæring for Ditt Firmanavn AS
  • Last ned grønn Protokoll over behandlingsaktiviteter
  • Last ned grønn Internkontroll personvern: Eksempel
  • Last ned grønn Egenkontroll personvern: Ditt firmanavn AS
  • Last ned grønn Retningslinjer for sikkerhetstiltak ved Ditt firmanavn AS