• No results found

Arbeidsgivers adgang til å behandle personopplysninger om egne ansatte etter den nye personvernforordningen

N/A
N/A
Info
Nedlasting
Protected

Academic year: 2022

Share "Arbeidsgivers adgang til å behandle personopplysninger om egne ansatte etter den nye personvernforordningen"

Copied!
46
0
0

Laster.... (Se fulltekst nå)

Last ned nå ( 46 sider )

Fulltekst

(1)

Arbeidsgivers adgang til å

behandle personopplysninger om egne ansatte etter den nye personvernforordningen

-Samtykke og andre behandlingsgrunnlag

Kandidatnummer: 529 Leveringsfrist: 25.04.2017 Antall ord: 13 435

(2)

i Innholdsfortegnelse

1   INNLEDNING ... 1  

1.1   Tema for oppgaven og problemstilling ... 1  

1.2   Rettskildebildet ... 3  

1.2.1   Dagens rettskildebilde ... 3  

1.2.2   Rettskildebildet etter personvernforordningen ... 5  

1.3   Avgrensinger ... 7  

1.4   Begrepspresiseringer ... 7  

1.4.1   Personopplysninger og behandling av personopplysninger ... 7  

1.4.2   Behandlingsansvarlig og den registrerte ... 8  

1.5   Den videre disposisjon ... 10  

2   GRUNNLAG FOR Å BEHANDLE PERSONOPPLYSNINGER ETTER DAGENS REGELVERK ... 11  

2.1   Innledning ... 11  

2.2   Hovedregel om behandlingsgrunnlag i personopplysningsloven ... 11  

2.3   Behandlingsgrunnlag i ansettelsesforhold ... 11  

2.3.1   Lovgrunnlaget ... 12  

2.3.2   Den enkelte arbeidstakers samtykke ... 13  

2.3.3   ”Nødvendig” behandling av personopplysninger ... 16  

2.3.4   Rangering av behandlingsgrunnlag ... 20  

3   GRUNNLAG FOR Å BEHANDLE PERSONOPPLYSNINGER ETTER EUS PERSONVERNFORORDNING ... 23  

3.1   Innledning ... 23  

3.2   Introduksjon av EUs personvernforordning ... 23  

3.3   Hovedregel om behandlingsgrunnlag i personvernforordningen ... 24  

3.4   Behandlingsgrunnlag i ansettelsesforhold ... 26  

3.4.1   Hjemmel i lov ... 26  

3.4.2   Den enkeltes arbeidstakers samtykke ... 28  

3.4.3   Nødvendig behandling av personopplysninger ... 32  

4   RETTSPOLITISKE BETRAKTNINGER ... 36  

4.1   Generelle betraktninger ... 36  

4.2   Betydningen for arbeidsgiver og veien videre ... 36  

5   SAMMENFATNING ... 38  

(3)

ii

6   LITTERATURLISTE ... 40  

(4)

1 1 Innledning

1.1 Tema for oppgaven og problemstilling

I hverdagslivet slik som i arbeidslivet er det en økning i registrering og lagring av informa- sjon. Slik informasjon omfatter også personopplysninger. Informasjonsteknologien har utvik- let seg grunnet digitaliseringen som preger dagens samfunn, og det blir stadig lettere å samle inn personopplysninger. Dette gir personvernutfordringer i samfunnet generelt, men også på arbeidsplassen.1

Enhver arbeidsgiver2 må gjennom hele ansettelsesforholdet forholde seg til behandling av personopplysninger. Allerede før en eventuell ansettelse er arbeidsgiver nødt til å hente inn opplysninger bundet til søknad, CV, og intervju angående den enkeltperson som søker. Den- ne rekruttering – og utvelgelsesfasen skal hjelpe arbeidsgiver i å velge den beste kandidaten for den aktuelle stillingen.3 For en allerede ansatt kan personopplysninger blir brukt i sam- menheng med arbeidsfordelinger, opprykninger, avskjeder, oppsigelser og for utbetaling av lønn. En arbeidsgiver vil av den grunn være nødt til å behandle personopplysninger om ar- beidstaker4 for å holde i gang virksomheten.

Personopplysningsloven5 sammen med personopplysningsforskriften6 gir regler om hvordan behandling av personopplysninger skal foregå. Personopplysningsloven tar sikte på å beskytte arbeidstakere mot situasjoner som kan krenke deres personvern, jf. formålsbestemmelsen i § 1(1). Lovgivningen setter dermed begrensninger for arbeidsgivers behandling av personopp- lysninger. Arbeidsgivers innhenting av personopplysninger må veies opp mot eventuelle ar- beidstakere sitt personvern.7

EU vedtok 27. april 2016 en ny personvernforordning: ”General Data Protection Regulation”8 som skal erstatte EUs personverndirektiv9. EUs personverndirektiv er blitt utdatert på visse

1 NOU 2009:1 s. 149.

2 Arbeidsmiljøloven (heretter – aml.) § 1-8 nr. 2.

2 Arbeidsmiljøloven (heretter – aml.) § 1-8 nr. 2.

3 Kjølaas (2010) s. 16.

4 Arbeidsmiljøloven (heretter – aml.) § 1-8 nr. 1.

5 Lov 14. April 2000 nr. 31 om behandling av personopplysninger(personopplysningsloven - heretter popplyl.).

6 Forskrift 15. Desember 2000 nr. 1263 om behandling av personopplysninger (personopplysningsforskriften).

7 Kjølaas (2010) s. 17.

8Europa-parlamentets og rådets forordning 2016/679 av 27. April 2016 om beskyttelse av individer ved behandling av personopplysninger og om fri flyt av slike opplysninger (General Data Protection Regulation – heretter personvernforordningen).

9 Europa-parlamentets og Rådets direktiv 95/46/EF av 24. oktober 1995 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personvern- direktivet).

(5)

2

felt, idet det har skjedd en rask utvikling av ny teknologi de siste 20 årene etter iverksettelsen som har ført til nye utfordringer.10 Den enkeltes arbeidstakers rett til personvern og privatliv11 i dagens digitaliserte samfunn må derfor ivaretas på en bedre måte. Gjennom en iverksettelse av forordning ønsker man å oppnå nettopp dette.12

En ny personvernforordning fører med seg betydelige forandringer i dagens personvernlov- givning. Et av formålene med forordningen er å gi den enkelte bedre beskyttelse, ved at per- sonopplysninger skal bli sikret i større grad enn tidligere.13 Dette har ført til at det nå stilles strengere krav for arbeidsgivers behandling av personopplysninger. Hva slags utfordringer arbeidsgivere står ovenfor ved behandling av personopplysninger om egne ansatte etter de nye reglene er av et udekket og praktisk tema som har vært gjenstand for mye debatt.

I en artikkel fra dagens næringsliv presenteres en undersøkelse foretatt av IT-selskapet Atea.

Her deltok 611 virksomhetsledere, hvor det kom det frem at hele åtte av ti ledere ikke vet hva en ny personvernregulering innebærer.14 Dette viser at det er stor mangel på kunnskap om den nye personvernforordningen. Mange arbeidsgivere er uvitende om de konsekvenser forord- ningen kan innebære for behandling av personopplysninger. Oppgavens tema er av den grunn svært aktuell.

Jeg vil i denne oppgaven undersøke hvilke følger EUs personvernforordning får for norske arbeidsgiveres rett til å behandle personopplysninger om egne ansatte. Norge stiller et relativt strengt vern for den enkelte borger, i forhold til minstekravene som fremgår av direktivet.

Spørsmålet er om de nye reglene om behandlingsgrunnlag som følger av EUs personvernfor- ordning stiller et strengere krav til arbeidsgivers behandlingsgrunnlag enn det som er tilfellet per i dag.

Hovedproblemstillingen oppgaven reiser er derfor: Hvilke konsekvenser får GDPR for ar- beidsgivers grunnlag til å behandle personopplysninger om arbeidstaker.

Underveis vil oppgaven svare på følgende problemstillinger:

• Hvordan fungerer kravet til behandlingsgrunnlag i arbeidsforhold etter dagens regel- verk.

10 Personvernforordningens fortale (heretter fortalen) punkt 6.

11 NOU 2009:1 s. 153.

12 Fortalen punkt 10.

13 Personvernforordningen art. 1 og fortalen punkt 14.

14 Eidem (2017).

(6)

3

• Hvilke vilkår er etter personvernforordningen i tråd med de krav som stilles for be- handlingsgrunnlag i et ansettelsesforhold etter gjeldende rett, og hvilke vilkår er nye behandlingsbetingelser.

1.2 Rettskildebildet

Retten til personvern spiller en sentralt rolle i arbeidslivet(jf. punkt 1.1). Personopplysnings- loven med forarbeider og EUs personvernforordning med tilhørende fortale, vil være de vik- tigste rettskilder for oppgavens hovedproblemstilling. Jeg vil i det følgende gi en kort redegjø- relse for de rettskildefaktorer som gjør seg gjeldende ved tolkning av personopplysningsloven i avsnitt 1.2.1 og de som gjør seg gjeldende ved tolkning av EUs personvernforordning i av- snitt 1.2.2.

1.2.1 Dagens rettskildebilde

Det er først og fremst popplyl. §§ 2, 8, og 11 som vil danne grunnlaget for arbeidsgivers be- handling av personopplysninger etter dagens regelverk. Popplyl. § 2 inneholder sentrale defi- nisjoner av ord og aktører, mens §§ 11 og 8 stiller krav til arbeidsgivers behandling av per- sonopplysninger. Jeg har valgt å vie popplyl. § 11 mindre oppmerksom i oppgaven, ettersom oppgavens sentrale tema er behandlingsgrunnlag som kun er ett av flere vilkår i bestemmel- sen. Popplyl. § 8 er det sentrale utgangspunkt idet bestemmelsen regulerer arbeidsgivers retts- lige grunnlag for å behandle personopplysninger om arbeidstaker.

Popplyl. angår enhver behandling av personopplysninger som skjer helt eller delvis med elektroniske hjelpemidler eller inngår eller skal inngå i et personregister, med unntak av rent private formål, jf. popplyl. § 3. Dette gjelder uavhengig om opplysningene lagres i et arkiv eller om de lagres digitalt. Formålet og virkeområde som følger av lovens §§ 1, 3 og 4, vil være sentrale tolkningsfaktorer for bestemmelsene som følger av denne lov. Popplyl. skal beskytte enkeltindivider mot ulovlig behandling av personopplysninger, og utgangspunktet er at behandling av personopplysninger etter personopplysningsloven ikke er tillatt med mindre det foreligger rettslig grunnlag.15

Bestemmelsene i loven utdypes videre i lovforarbeidene. Lovens forarbeider er inntatt i NOU 1997:19 (”et bedre personvern”), Ot.prp. nr. 98 (1998-1999) og i Innst. O. Nr. 51(1999- 2000).16 Forarbeidene vil bidra til tolkningen av bestemmelsenes ordlyd ved at de .17 Lovteks- ten sammen med forarbeider har i norsk rett stor rettskildemessig vekt, ettersom de belyser

15 Popplyl. §§ 8 og 9.

16 Johansen (2001) s. 60.

17 Eckhoff (2001) s. 70.

(7)

4

lovgivers formål med reguleringen, og fotoarbeidene kaster lys over hva lovgivers vilje går ut på.18 Lovteksten har likevel høyere autoritet enn forarbeidene, fordi den er vedtatt av lovgiver i lovs form. Lovteksten har dermed større vekt.19

Personopplysningslovens § 8 gjennomfører direktiv 94/46/EF art. 7. Ettersom personopplys- ningsloven bygger på direktivet, er den nasjonale lovgivning tilrettelagt og fullkommen med kravene som stilles. Direktivets forarbeider og fortale vil av den grunn være av relevans som tolkningsfaktor ved tolkningen av bestemmelsene.20

Det er lite rettspraksis som omhandler oppgavens hovedproblemstilling. Det er ikke funnet funn av praksis fra Høyesterett med direkte relevans for oppgaven. Rettskildefaktoren vil av den grunn ikke bidra så mye i avklaringen av oppgavens tema. Lite rettspraksis på området kan begrunnes med at saker som gjelder personvern i dag avgjøres av datatilsynet og person- vernsnemda. Datatilsynets forvaltningspraksis og personvernsnemdas praksis har derfor retts- kildemessig vekt ved tolkningen av bestemmelsene. Eckhoff sier at ved spørsmålet om hvil- ken vekt forvaltningspraksisen skal tillegges avhenger av:21

«Hvor utbredt og varig praksisen er, om den skriver seg fra overordnede eller underord- nede organer, hvor stor kyndighet som er representert i de organer som har truffet av- gjørelsene, hvor rimelige eller urimelige de inntatte standpunkter er etter domstolenes mening, hvilke andre rettskildefaktorer som griper inn, etc. Dessuten spiller det en vesentlig rolle hva slags spørsmål det dreier seg om».

Datatilsynet fører tilsyn med at behandling av personopplysninger oppfyller kravene i person- opplysningsloven.22 Selv om tilsynets uttalelser, rådgivning og vedtak ikke er bindende, er de veiledende og relevante for å tolke popplyl. § 8. Personvernsnemda klager på vedtak fattet av datatilsynet.23 Nemndspraksisen er av den grunn relevant for tolkningen av §§ 8 i popplyl. jf.

henvisningen i § 43 til § 2 (4). Ved å følge nemdpraksis vil det sikres ensartethet i lovtolk- ningen. Dette vil bidra til større forutberegnelighet. Selv om forvaltningspraksis som nevnt tillegges begrenset vekt i praksis, vil avgjørelsene som benyttes i oppgaven bli tillagt større vekt i mangel av andre rettskilder, og vil av den grunn være relevant ved tolkningen av per- sonopplysningsloven § 8.

18 Eckhoff (2001) s. 70.

19 Rt 2008 s. 1263 (Rettsferie), avsn. 17.

20 Johansen (2001) s. 61.

21 Schartum (2016) s. 25.

22 Popplyl. § 42.

23 Popplyl. § 43.

(8)

5

Personopplysningsloven bygger som nevnt på personverndirektivet. Praksis fra EU-domstolen vil derfor være relevant, og vil kunne ha rettskildemessig vekt ved tolkningen av bestemmel- sen. Det er likevel ikke funnet funn av rettspraksis fra EU-domstolen med relevans for oppga- vens tema. På bakgrunn av dette er det benyttet uttalelser fra det uavhengig EU-organet ”Ar- tikkel 29-gruppen”24. Arbeidsgruppen gir uttalelser og anbefalinger på hvordan direktivet skal tolkes, hvor formålet er å sikre etterlevelse av regelverket.25 Uttalelsene som er benyttet som rettskilder i oppgaven har ikke stor vekt, og vil kun bli benyttet som tolkningsmomenter.

1.2.2 Rettskildebildet etter personvernforordningen

EUs personvernforordning er bindende for det landet det skal gjennomføres i.26 Personvern- forordningen skal inkorporeres direkte, ikke transformeres gjennom lovgivning. Ettersom personvernforordningen først ble vedtatt våren 2016, er det lite rettskilder på området. Det er ingen EU-dommer som behandler oppgavens tema, og det lite juridisk litteratur som omhand- ler regelverket.

Det er først og fremst personvernforordningen art. 4, 5, 6, 7, som vil danne grunnlaget for arbeidsgivers behandling av generelle personopplysninger. Art. 4 inneholder sentrale defini- sjoner av ord og aktører, og vil være veiledende ved tolkningen av en større del av forord- ningen. Art. 5 gir en oppramsing av prinsipper som skaper fundamentet for lovlig behandling av personopplysninger, mens art. 6 og 7 stiller krav til arbeidsgivers behandling av person- opplysninger. Personopplysningsloven art. 6 er det sentrale utgangspunktet. Der det foreligger relevante uttalelser i fortalen, vil dette bli vist til som utfyllende tolkningsmoment underveis i oppgaven.

Forordningens regler må leses og forstås ut i fra den samlede teksten.27 Forståelsen av teks- tens innhold beror på en naturlig språklig forståelse av bestemmelsens ordlyd. Jeg vil i oppga- ven benytte meg av den engelske forordningsteksten. EU-rettslige lovtekster som skal gjelde for mange antall teknologier en tendens til å ha et stort omfang med generelle og uklare ord og uttrykk. Dette medfører at det dermed blir vanskelig å forstå og tolke innholdet i bestem- melsene. Dette bekreftes av juridisk teori hvor Professor Lee A. Bygrave, Universitet i Oslo, beskriver utfordringen med å tolke personverndirektivet:

24 EU-kommisjonens rådgivende organ i personvernspørsmål (Artikkel 29-gruppen).

25 Personverndirektivet art. 30.

26 Avtale om Det europeiske økonomiske samarbeidsområde (EØS-avtalen) art. 7 bokstav a).

27 Blume (2016) s. 43.

(9)

6

”Interpreting the DPD is no easy task. This is due largely to the nebulous manner in which many of its provisions are formulated, combined with a paucity of authoritative guide of their meaning. The nebulousness is symptomatic of the political compromises reached after exten- sive tugs-of-war between various member states, organizations, and interest groups during the drafting process”.28

Det er derfor utfordrende å trekke et klart utgangspunkt. Andre tolkningsmomenter vil dermed få betydning for tolkningen av forordningen. Utgangspunktet er dermed at forordningens reg- ler må forstås ut i fra den samlede tekst.

Art. 1 jf. fortalens punkt 14 fastsetter forordningen formål. Forordningens art. 2 jf. fortalens punkt 18 fastsetter den materielle avgrensing. De territoriale avgrensning fremkommer av art.

3 jf. fortalens punkt 22. Disse bestemmelsene vil fastsette hvordan forordningens regler skal fortolkes, og vil være veiledende momenter i oppgaven. I EU-retten har forarbeider begrenset rettskildemessig vekt ved tolkning av bestemmelsene i forordninger, ved at de skal anvendes med forsiktighet.29. Selv om fortalen har begrenset vekt, vil den være et tolkningsmoment.

Personvernforordningen viderefører mange av dagens krav. EUs personverndirektiv vil derfor være en viktig tolkningsfaktor i denne oppgaven for å forstå teksten i forordningen. Eldre dommer og juridisk litteratur som behandler bestemmelser i direktivet som ikke er særlig end- ret i den nye forordningen, vil ha overføringsverdi.30 Disse vil bli nevnt fortløpende i oppga- veteksten. Selv om det er lite litteratur som omhandler oppgavens tema, vil artikler være vei- ledende for oppgaven.

”Artikkel 29-gruppen” gir fremtidig veiledning også for forordningen. Arbeidsgruppen er formalisert gjennom forordningen, og vil etter forordningen få status som formelt EU-organ;

"European Data Protection Board", jf. art. 68 og 69. Gruppen skal slik som ved direktivet avsi uttalelser om hvordan man tolker forordningen. Gruppen skal på denne måten sørge for en ensartet håndhevelse av regelverket, jf. art. 70. European Data Protection Board har ikke ennå gitt ut ”guidelines” som omhandler oppgavens tema. Endringer kan derfor forekomme, og oppgaven må leses med dette for øyet.

Juridisk teori som er benyttet i oppgaven vil bli nevnt forløpende i teksten. Den juridiske teori som er nevnt har bidratt til inspirasjon til innhold og fungert som hjelp ved tolkning av regel-

28 Bygrave (2014), s. 56.

29 Arnesen (2015) s. 32.

30 Blume (2016) s. 22.

(10)

7

verkene. Den rettspraksis som er benyttet i oppgaven er funnet ved søk av tekst av enkelte emner, ved referanser i litteraturen, eller ved enkeltsøk på lovdata.

1.3 Avgrensinger

Oppgavens formål er først og fremst å analysere hvilke behandlingsgrunnlag som er relevante.

Oppgaven skal avdekke hvilke konsekvenser som oppstår for arbeidsgiver når den nye per- sonvernforordningen ikraftsettes.

Oppgavens fokus er på arbeidsgivers adgang til å behandle personopplysninger om egne an- satte. Arbeidssøkere faller dermed utenfor oppgavens virkeområde. Oppgaven avgrenses mot andre krav til behandling av personopplysninger enn kravet til behandlingsgrunnlag. Avgren- singene i popplyl. § 11 vil det ikke gjøres rede for. Videre vil det ikke bli tatt utgangspunkt i andre spesiallover som omhandler behandling av personopplysninger med mindre dette er eksempler på visse tilfeller der den nevnte behandlingsgrunnlag kan/ikke kan legges til grunn.

Arbeidsmiljøloven vil ikke være av betydning for oppgavens tema, bortsett fra definisjonene av ”arbeidsgiver” og ”arbeidstaker” i § 1-8, og de enkelte bestemmelser som er brukt som typiske eksempler i kapittel 2 og 3.

Jeg vil i den oppgaven ikke gå inn på skillet mellom generelle og sensitive opplysninger.

Oppgaven avgrenses til å gjelde behandling av generelle personopplysninger etter § 8. Vilkå- rene for behandling av sensitive personopplysninger i § 9 vil derfor ikke behandles. Dette grunnet oppgavens omfang.

1.4 Begrepspresiseringer

1.4.1 Personopplysninger og behandling av personopplysninger 1.4.1.1 Personopplysninger

”Personopplysning” er definert i popplyl. § 2 nr. 1 som ”opplysninger og vurderinger som kan knyttes til en enkeltperson”. Det er først når opplysninger direkte knytter en behandling til en enkeltperson, at situasjonen faller inn under loven, jf. bestemmelsens ordlyd. Opplysninger som ikke direkte klarlegger en enkeltperson, kan også være personopplysninger, jf. ”kan knyttes til”. Det bekreftes av lovens forarbeider at personopplysninger vil være både direkte og indirekte vurderinger som kan knyttes til fysiske personer.31

Forordningens art. 4 (1) tar og for seg hva som menes med personopplysninger, jf. ”personal data”. Sammenlignet med dagens gjeldende rett, overføres definisjonen ”personopplysninger”

over til definisjonen "data”. Det følger av ordlyden at personopplysninger er informasjon re-

31 Ot.prp.nr. 92 (1998-1999) s.102.

(11)

8

latert til et identifisert individ, både direkte og indirekte. Dette trekker i retning av at ikke bare navn, adresse, og lignende medregnes, men også annen informasjon som kan føre til at noen blir gjenkjent, slik som bilder, referat fra møter, og lignende.32 Videre utdypes det i fortalen at IP-adresser er å anse som personopplysninger; "Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identifica- tion tags".33 Personvernforordningen art. 4 (1) er i tråd med popplyl. § 2 nr. 1. Bestemmelsen tar for seg flere typer tilfeller enn dagens nasjonale lovgivning, og gir av den grunn regelver- ket større anvendelsesområde. Personopplysninger i et ansettelsesforhold vil i dag typisk være registreringer av når en arbeidstaker ankommer og forlater arbeidsplassen. ”Personopplys- ning” vil i den videre fremstilling av oppgaven brukes om personopplysninger om arbeidsta- ker.

1.4.1.2 Behandling av personopplysninger

Med ”behandling” av personopplysninger menes etter gjeldende rett ”enhver bruk av person- opplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter”, jf. popplyl. § 2 nr. 2. Dette trekker i retning om at all slags opplysninger som hentes inn om en arbeidstaker i arbeidslivet vil være personopplys- ninger.

Forordningens art. 4 (2) tar og for seg hva som menes med behandling av personopplysninger, jf. ”prosessing”. Det følger av ordlyden at enhver behandling av personopplysninger, enten det foregår automatisk eller manuelt, vil være behandling av personopplysninger så lenge det innebærer ”collecting recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination” med mer. Lovteksten tar for seg flere typer tilfeller enn dagens nasjonale lovgivning, men er likevel i tråd med popplyl. § 2 (1) nr. 2. ”Behandling” vil i oppgaven brukes om arbeidstakers behandling av personopplysninger om ansatte.

1.4.2 Behandlingsansvarlig og den registrerte

Behandlingsansvarlig og den registrerte er de to sentrale aktørene ved behandlingen av per- sonopplysninger.

32 Richter (2016) og fortalen punkt 26.

33 Fortalen punkt 30.

(12)

9 1.4.2.1 Behandlingsansvarlig

En behandlingsansvarlig er etter popplyl. ”den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes”, jf. popplyl. § 2 nr. 4 og direkti- vet art. 2 d).Den behandlingsansvarlige er den som bestemmer at det en personopplysning skal behandles, hvilket formål en behandling av personopplysninger har, og bestemmer videre hvordan personopplysningen skal behandles. Den behandlingsansvarlige er ”den som er be- slutningstaker – det vil si den som har den juridiske befatningen og bestemmende utøvelse over formål og virkemidler – og som dessuten initierer og finansierer den aktuelle behand- lingen”. 34

I definisjonen av behandlingsansvarlig etter personvernforordningen art. 4 (7), foreligger det ingen endringer fra hva som er å anse som behandlingsansvarlig etter popplyl. § 2 (4) som bygger på personverndirektivet. Dette tilsier at en bedrift som er å regne som behandlingsan- svarlig i dag, vil være behandlingsansvarlig også etter det nye regelverket.

Den behandlingsansvarlige har klare plikter etter loven. Han er ansvarlig for å etterleve de lovreglene som gjelder. Det må foreligge et behandlingsgrunnlag for at behandlingen skal være lovlig. Et eksempel vil være der behandlingen er nødvendig for å oppfylle arbeidsavta- len. I et arbeidsforhold vil det normalt være arbeidsgiver som er behandlingsansvarlig, etter- som det er arbeidsgiver som har det daglige ansvaret for virksomheten.35 Når den behand- lingsansvarlige gir behandlingsrett til en annen databehandler, skal behandlingsansvaret frem- deles være hos arbeidsgiver.36 I den videre fremstillingen brukes behandlingsansvarlig og arbeidsgiver om hverandre.

1.4.2.2 Den registrerte

”Den registrerte” er ”den som en personopplysning kan knyttes til”, jf. popplyl. § 2 nr. 6, og vil den personen personopplysningene gjelder. Denne aktør har ingen begrepspresisering i direktivet, men det følger av lovens forarbeider at det likevel var et behov for å presisere dette sentrale begrepet på grunn av denne aktørens sentrale rolle i loven.37 ”Den registrerte” vil i et arbeidsforhold være arbeidstaker, og det er slik begrepet skal forstås i oppgaven.

Det foreligger ikke noe definisjon av ”den registrerte” i personvernforordningen. Dette er det samme som i personverndirektivet. Hvem som er å regne som den registrerte etter person- vernforordningen avhenger av om det blir behandlet personopplysninger, jf. art. 4 (1). Be- handling av personopplysninger vil være avgjørende for hvem som i det konkrete tilfellet er å

34 PVN-2011-10 punkt 6.

35 Kjølaas s. 148.

36 Johansen (2001) s. 72.

37 Johansen (2001) s. 72.

(13)

10

regne som den registrerte. Dette trekker i retning av at selv om definisjonen i popplyl. ikke er videreført, er det lite som tilsier av at det innebærer noe forskjell i aktørrollen.

1.5 Den videre disposisjon

Oppgaven er delt inn i fem deler. Del to omhandler grunnlag for å behandle personopplys- ninger etter dagnes regelverk. Her vil oppgaven først ta for seg personopplysningsloven og redegjøre for de krav som stilles for rettslig grunnlag for behandling av personopplysninger.

Det vil videre bli foretatt en rangeringen av behandlingsgrunnlagene etter den nasjonale per- sonvernlovgivningen.

Under del tre vil det først gis en introduksjon av EUs personvernforordning før det redegjøres for arbeidsgivers grunnlag for å behandle personopplysninger etter EUs personvernforord- ning. Det vil gis en analyse av hvordan de nye reglene i personvernforordningen samsvarer med de reglene vi har i personopplysningsloven i dag. Redegjørelsen vil ta utgangspunkt i hvilke nye krav som stilles og hvordan de nye reglene gjennomføres.

Rettspolitiske betraktninger fremkommer i del fire. I del fem blir det gitt en sammenfatning av oppgaven.

(14)

11

2 Grunnlag for å behandle personopplysninger etter dagens regelverk

2.1 Innledning

Jeg vil i dette kapittelet behandle kravet til behandlingsgrunnlag etter gjeldende rett. Dette er et av flere vilkår som må være oppfylt for at arbeidsgiver skal ha lov til å behandle person- opplysninger om den ansatte.38

2.2 Hovedregel om behandlingsgrunnlag i personopplysningsloven

Det følger av popplyl. § 8 at ”Personopplysninger kan bare behandles dersom den registrerte har samtykket, eller det er fastsatt i lov at det er adgang til slik behandling, eller behandling- en er nødvendig...(for nærmere angitte formål)”. Loven oppstiller her tre alternative hoved- grunnlag. Behandlingsgrunnlagene gjelder for all behandling av generelle personopplysninger hvor loven kommer til anvendelse.39

Ordlyden i bestemmelsen tilsier at vilkåret må være oppfylt for at en behandling av person- opplysninger er å anse lovlig.40 Det er den behandlingsansvarlige som er ansvarlig for vurde- ringen av om det foreligger et behandlingsgrunnlag etter popplyl. § 8.

Lovhjemmel foreligger når det fremkommer av en lovbestemmelse at personopplysninger kan behandles. Samtykke er når behandling av opplysningene er godkjent av den opplysningene omhandler. Nødvendig grunn er når behandling av alminnelige personopplysninger er nød- vendig etter grunnene oppstilt i § 8 a) – f).

Lovteksten i popplyl. § 8 forutsetter at en av behandlingsgrunnlagene må være oppfylt før behandling av personopplysninger kan iverksettes. Loven oppstiller ikke noen regler om hvil- ket rettslig grunnlag den enkelte behandling burde baseres på. I avsnitt 2.3.4 vil det presente- res om det er noe rangering av de behandlingsgrunnlag som fremkommer i bestemmelsen.

2.3 Behandlingsgrunnlag i ansettelsesforhold

Arbeidsgiver må ha et behandlingsgrunnlag for å kunne samle inn og behandle personopplys- ninger am ansatte,41 uavhengig av om opplysningene er generelle eller sensitive42. Vilkåret må være oppfylt før arbeidsgivers behandling av personopplysninger starter. I et arbeidsfor-

38 Popplyl. § 11.

39 Ot.prp. nr. 92 (1998-99) s. 108.

40 Dette følger også av popplyl. § 11 bokstav a).

41 Popplyl. §§ 11 jf. 8 og 9.

42 Popplyl. § 2 nr. 8.

(15)

12

hold vil det i praksis si ved inngåelsen av en arbeidsavtale eller før den aktuelle behandlingen finner sted.

I et ansettelsesforhold er det følgende behandlingsgrunnlag som er aktuelle, og som det vil redegjøres for i den videre fremstillingen av oppgaven:

• Der det er fastsatt i lov, jf. popplyl. § 8.

• Den enkeltes arbeidstakers samtykke, jf. popplyl. § 8

• Hvor behandlingen er nødvendig for å oppfylle en arbeidsavtale, jf. popplyl. § 8 a).

• Hvor behandlingen er nødvendig for å ivareta en berettiget interesse, jf. popplyl. § 8 f).

2.3.1 Lovgrunnlaget

Lovhjemmel foreligger når det er fastsatt i lov eller forskrift at personopplysninger kan be- handles. For å tilfredsstille kravet til lovhjemmel som rettslig grunnlag må hjemmelen dekke aktuelle opplysningstyper. Der lovhjemmel foreligger har lovgiver allerede vurdert behand- lingen og funnet den ønskelig.43 Det vil ikke være noe spørsmål om inngrepet vil oppleves som uheldig ovenfor arbeidstaker. Dersom et slikt alternativ etter særlovgivningen strider mot personopplysningsloven vil den likevel ikke være ulovlig, jf. popplyl. § 5. Personopplysnings- loven er en generell lovgivning og særlovgivning vil naturligvis ha forrang.

Der det derimot foreligger usikkerhet om inngrepet vil oppleves som uheldig ovenfor arbeids- taker, må det foretas en konkret vurdering hvor hjemmelens ordlyd vurderes i forhold til hvor inngripende behandlingen av personopplysninger i det konkrete tilfellet er.44 Jo alvorligere personvernskonsekvenser, desto strengere bør kravet til hjemmelen være.45 Det foreligger dermed et krav til forholdsmessighet.46 Dersom behandlingen ikke er av like stor betydning og like inngripende for arbeidstaker, stilles det ikke like høye krav til klar lovhjemmel.

Bedriftshelsetjenesten er et praktisk tilfelle hvor det foreligger hjemmel i lov for arbeidsgivers håndtering av de ansatte. Det følger av aml. § 3-3 at arbeidsgiver plikter å ha bedriftshelsetje- neste dersom virksomheten medfører risiko og belastninger for arbeidstakere. Bedriftshelse- tjenesten vil overvåke, kartlegge og behandle arbeidstakers helse.47 Hvilke virksomheter som skal ha bedriftshelsetjeneste fremkommer av forskrift om organisering, ledelse og medvirk-

43 Johansen (2001) s. 99.

44 Johansen (2001) s. 99.

45 Ot.prp nr. 92 (1998-99) s. 108.

46 Schartum (2011) s. 164.

47 Datatilsynet (2006).

(16)

13

ning, § 13-1.48 Dette vil typisk være bransjeområder slik som bygg, renovasjon og transport.

Arbeidsgiver har her hjemmel i lov til å behandle personopplysninger som er nødvendige for å tilrettelegge ansettelsesforholdet på grunn av helseforhold. Popplyl. § 2 nr 8 definerer helse- opplysninger som sensitive, og slike opplysninger må derfor følge reglene som gjelder for sensitive personopplysninger.

Der det ikke foreligger lovhjemmel, må andre behandlingsgrunnlag legges til grunn Det kre- ves dermed supplerende grunnlag slik som samtykke eller nødvendig grunn. Lovhjemmel som behandlingsgrunnlag er dermed uproblematisk i et arbeidsforhold etter dagens regelverk. Det er først når det er samtykke eller en av de to alternative nødvendige grunner som er nevnt i punkt 2.3 som skal legges til grunn, som er av interesse for oppgavens tema.

2.3.2 Den enkelte arbeidstakers samtykke 2.3.2.1 Samtykke

Samtykke er definert i popplyl. § 2 (7), hvor det fremkommer at samtykke er ”en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv”. Definisjonen bygger på EUs personverndirektiv art. 2 bokstav h. Det stilles strenge krav til hva som er å regne som et gyldig samtykke etter loven forstand.

For at et samtykke skal legges til grunn som behandlingsgrunnlag må tre kumulative vilkår være oppfylt; samtykke må være frivillig, uttrykkelig og informert.49

Etter bestemmelsens ordlyd foreligger samtykke når behandling av opplysningene er godkjent av den opplysningene omhandler. I et arbeidsforhold vil det være et samtykke fra den arbeids- taker opplysningene gjelder. Ved at arbeidstaker samtykker til behandlingen, foreligger der- med grunnlag for behandlingen av personopplysninger. Utgangspunktet for samtykkealterna- tivet er først og fremst at arbeidstaker har rett til å bestemme over opplysninger som gjelder han eller henne selv, jf. prinsippet om selvbestemmelsesrett i EUs personverndirektiv art. 7 bokstav a).

Det kan konstateres at direktivets ordlyd skiller seg fra popplyl. § 8, ved at det i direktivets art 7 bokstav a) slås fast at samtykke må være ”utvetydig”. Selv om utformingen i popplyl. § 8 er noe annerledes enn det som følger av direktivet, ligger likevel innholdet innenfor direktivets rammer.50 Det legges dermed til grunn at kravet til samtykke stiller likt etter direktivets art. 7 bokstav a) jf. art. 2 bokstav h) og etter popplyl. § 8 jf. § 2 nr. 7.

48 Forskrift 6. Desember 2011 nr. 1355 om organisering, ledelse og medvirkning § 13-1.

49 Popplyl. § 2 nr. 7.

50 NOU 1997:19

(17)

14 2.3.2.2 Frivillighet

Frivillighetsvilkåret innebærer at samtykke skal være valgfritt. I et ansettelsesforhold vil det alltid foreligge muligheter for arbeidsgiver å enten belønne eller gi sanksjoner der en arbeids- taker skal avgi sitt samtykke. En arbeidstaker vil av den grunn ikke unnlate å gi samtykke, ettersom dette kan innebære negative konsekvenser for ansettelsesforholdet. Det foreligger et ujevnt maktforhold mellom arbeidsgiver og arbeidstaker, ettersom arbeidsgiver som følge av sin styringsrett alltid vil kunne pålegge sanksjoner for arbeidstaker ettersom han har en makt- overvekt. Slike negative følger som kan pålegges en arbeidstaker i et ansettelsesforhold vil medføre at frivilligheten svekkes.51 Artikkel 29-gruppen uttaler at «where consent is required from a worker, and there is a real or potential relevant prejudice that arises from not consen- ting, the consent is not valid in terms of satisfying either Article 7 or Article 8 as it is not freely given”.52 Det kan dermed stilles spørsmål om det i det hele tatt foreligger et gyldig sam- tykke. Hva skal egentlig til for at en samtykke som er avgitt i et ansettelsesforhold er å anse som frivillig.

Det følger av juridisk teori at det stilles et krav til at samtykke er å anse som reell.53 Tvang til å samtykke samt negative følger til å la være å samtykke, vil ikke vil være samtykke i lovens forstand. Dette bekreftes av lovens forarbeider hvor det fremgår at samtykke ikke må være avgitt ”under noen form for tvang fra den behandlingsansvarlige eller andre”.54 Alle negative følger av å ikke gi samtykke begrenser den enkeltes reelle frivillige samtykke. Frivillighets- vilkåret sperrer motsetningsvis ikke for at et samtykke er frivillig dersom positive følger gis.55 Frivillighet har vært omtalt som en utfordring i ansettelsesforhold. Det er vanskelig å gjen- nomføre. Dette bekreftes som nevnt av artikkel 29-gruppens uttalelser.56 Dette bekreftes vi- dere av Securitas-saken.57 Problemstillingen var her arbeidsgiveren hadde mulighet til å ta blodprøver av sine arbeidstakere med det grunnlag at han ønsket å forsikre at disse ikke var påvirket av alkohol i løpet av arbeidsdagen. Personvernnemda la til grunn at maktforholdet i et ansettelsesforhold begrenser bruken av samtykke som rettslig grunnlag.58 Samtykke var derfor et lite egnet behandlingsgrunnlag. Dersom en ansatt nekter å samtykke til en slik be- handling vil dette naturligvis få konsekvenser for ansettelsesforholdet.

51 Schartum (2011) s. 161-162.

52 Artikkel 29-gruppen (2011) s. 13.

53 Kjølaas (2010) s. 53.

54 Ot.prp. nr. 92 (1998-1999) s. 103-104.

55 Schartum (2011) s. 162.

56 Artikkel 29-gruppen (2011) s. 13-14.

57 PVN-2005-6.

58 PVN-2005-6 punkt 6.2.2.

(18)

15 2.3.2.3 Uttrykkelig

Det neste vilkåret er at samtykke må være ”uttrykkelig”. Etter en naturlig ordlydsforståelse innebærer dette at det må foreligge en klart formulert erklæring som viser til at samtykke fak- tisk er gitt, og at arbeidstakere forstår hva det er de samtykker til.59 Det oppstilles ikke noen formkrav til hvordan samtykke fra arbeidstaker gis. Erklæringen kan enten være skriftlig eller muntlig.60 Dersom det eksisterer tvil om et samtykke faktisk er gitt, eller til hva samtykke går ut på, foreligger det ikke samtykke etter loven forstand.

Det må være en viss aktivitet fra arbeidsgiver for at samtykke skal være lovlig som behand- lingsgrunnlag.61 Eksempelvis vil en som unnlater å snakke, ikke samtykke i lovens forstand.

Dette vil karakteriseres som passiv handling, og er ikke i overenstemmelse med samtykkepre- siseringen som følger av popplyl. § 2 nr. 8.62 I et ansettelsesforhold vil det ikke aksepteres at arbeidstaker må foreta en handling dersom han ikke ønsker å samtykke. Konkludent adferd, som innebærer at man aktivt gjør noe, er heller ikke nok til å oppfylle kravet til uttrykkelig- het.63 Adferden må være så sterk at det kan forståes at et samtykke er gitt. Det er dermed et krav til en sterk aktiv handling, som typisk i arbeidsforhold vil være en underskrift.

2.3.2.4 Informert

Det tredje og siste vilkår til samtykke går ut på at et samtykke må være ”informert”. Dette innebærer at arbeidstaker må forstå hva han samtykker til. Arbeidstaker skal bli informert om hva han samtykker til og hvilke konsekvenser som følger av dette.64 Arbeidstaker skal gis informasjon om faktiske forhold.65 Det er arbeidsgiver som skal vurdere hva slags informa- sjon de ansatte skal ha kunnskap om, og dette vil typisk være informasjon om arbeidstakers rettigheter. Det vil eksempelvis være retten til å trekke samtykke tilbake. Etter personopplys- ningslovens lovproposisjon kan samtykke tilbakekalles når som helst.66 Retten til å trekke samtykke tilbake har ingen egen bestemmelse i loven, i motsetning til den danske og svenske lov.67 Dette kan mest sannsynlig begrunnes med at lovgiver følte dette var et klart krav i for- hold til kravet om frivillighet.68 Dersom samtykket ikke er gitt frivillig, vil det heller ikke fo-

59 Schartum (2011) s. 162.

60 Ot.prp. 92 (1998-1999) side 103.

61 NOU 1997: 19 s 186.

62 PVN-2010-09 s. 4.

63 NOU 1997:19 s. 186.

64 NOU 1997: 19 s 186.

65 Schartum (2011) s. 162.

66 Ot.prp. nr. 92 (1998 – 1999) s. 104.

67 Den danske lov om behandling af personoplysninger § 38 og den svenske personupgiftslagen § 12.

68 Ot.prp. nr. 92 (1998-99) s. 104.

(19)

16

religge et gyldig behandlingsgrunnlag. Dersom en arbeidstaker trekker sitt samtykke tilbake så medfører dette at behandlingsgrunnlaget ikke lenger gjelder. Samtykke som behandlings- grunnlag er dermed ulovlig.

Den såkalte drosjeløyvesaken (PVN-2009-16) handlet om innhenting av sensitive personopp- lysninger ved tildeling av drosjeløyver. Søkerne ble her bedt om å samtykke til at det ble inn- hentet ”opplysninger som er nødvendige for behandlingen av drosjeløyver (…) hos Skatteeta- ten, kemneren, toll- og avgiftsmyndigheter, Arbeids- og velferdsetaten (nav) og kommunenes bydelsadministrasjoner”.69 Personvernnemda kom frem til at erklæringen måtte være mer spesifisert for å oppfylle vilkåret til et ”informert” samtykke, og sa følgende: ”[E]rklæringen må̊ konkretiseres nærmere og de ulike personopplysninger som skal innhentes må spesifise- res”.70 Det må dermed foreligge en konkretisering av hvilke opplysninger skal innhentes for at samtykke er å anse som tilstrekkelig informert.

2.3.2.5 Samtykke i et arbeidsforhold

Samtykke vil som nevnt i drøftelsen over ikke alltid være tilfredsstillende som behandlings- grunnlag i et ansettelsesforhold. Arbeidstaker og arbeidsgiver er ikke å anse som to likeverdi- ge parter. Arbeidsgiver må istedenfor bygge behandlingen av personopplysninger på en av nødvendighetsgrunnene i popplyl. § 8, bokstav a) eller bokstav f).

Det kan her vises til kravene som stilles etter aml. § 9-2 som omhandler kontrolltiltak. Det vises ikke til samtykke fra arbeidstaker som grunnlag for å iverksette et slikt tiltak. Samtykke er dermed ikke alltid et tilstrekkelig behandlingsgrunnlag i et ansettelsesforhold. Dette bekref- tes videre av Artikkel 29-gruppens uttalelser som viser at bare samtykke som behandlings- grunnlag ikke er nok som grunnlag for arbeidsgivers behandling ved overvåkning av epost.71 Dette trekker i retning av at samtykke ikke er et selvstendig rettslig grunnlag ved kontrolltil- tak i et ansettelsesforhold.

Derimot kan samtykke være praktisk der det ikke foreligger noe inngripende behandling av personopplysninger, typisk der samtykke kreves for å tilby en tjeneste til de ansatte.

2.3.3 ”Nødvendig” behandling av personopplysninger 2.3.3.1 Nødvendig

Et generelt utgangspunkt i lovgivningen er at behandling av personopplysninger ikke skal utføres med mindre det er nødvendig. Dette støttes av et sentralt personvernprinsipp hvor det

69 PVN 2009-16 punkt 6.

70 PVN-2009-16 punk 6.

71 Artikkel 29-gruppen (2002) s. 21.

(20)

17

følger at behandling av opplysninger kun kan iverksettes dersom det er nødvendig for et be- stemt formål.72 Prinsippet begrenser dermed behandlingen av personopplysninger.73 Nødven- dighetsprinsippet kommer til utrykk flere steder i lovgivningen. I den videre fremstilling er det nødvendighetskravets innhold i § 8 som skal undersøkes.

Ifølge popplyl. § 8 kan den behandlingsansvarlige foreta en lovlig behandling av personopp- lysninger om den registrerte for å ivareta formålet med minst en av de nødvendige grunnene i bokstav a) til f). Etter alle seks ulike alternativene foreligger det et nødvendighetskrav, jf. or- det ”nødvendig”. Dette vil i et arbeidsforhold være aktuelt der det er nødvendig for å oppfylle arbeidsavtalen, jf. § 8 a), eller for å ivareta en berettiget interesse, jf. § 8 f). Jeg vil dermed avgrense mot bokstav b) til e).

Om behandlingen av personopplysninger er ”nødvendig” må avgjøres for hver enkel behand- ling og i hvert enkelt tilfelle.74 Kravet til nødvendighet legger opp til en skjønnsmessig og konkret vurdering i hver situasjon, jf. bestemmelsens ordlyd. Det må foreligge et konkret be- hov for behandlingen. Det er derimot ikke et krav til at det skal være det eneste mulige alter- nativ.75

Momenter som generelt inngår i nødvendighetsvurderingen er behandlingens formål, inngre- pets karakter og behandlingens omfang.76 Dette innebærer at det må foretas en forholdsmes- sighetsvurdering.77 Disse momenter vil inngå i et ansettelsesforhold der vurderingen er om det er nødvendig for arbeidsgiver å behandle opplysninger om sine ansatte.

Behandlingen av personopplysninger skal være minst mulig belastende for arbeidstaker, jf.

lovens formål i popplyl. § 1. Dersom behandlingsformen arbeidsgiver velger for å oppnå for- målet kan ivaretas på en mindre inngripende måte for arbeidstaker, vil ikke inngrepet være nødvendig.78

2.3.3.2 Personopplysninger som er nødvendig for å oppfylle en arbeidsavtale

Av samtykke som behandlingsgrunnlag stilles det ikke noe tilleggsvilkår. Samtykkeelementet har derfor stor betydning for behandling av personopplysninger som ikke er nødvendig for

72 Ot.prp. nr. 108 (2008-2009) s 77.

73 Ot.prp. nr. 108 (2008-2009) s 77.

74 Ot.prp. nr. 92 (1998–99) s. 108.

75 NOU 2003: 21 s. 170.

76 Ot.prp. nr. 108 (2008-2009) s. 78.

77 Ot.prp. nr. 108 (2008-2009) s. 78.

78 NOU 2009: 1 s. 151 og NOU 2004: 5 s. 434.

(21)

18

arbeidsgiver å behandle. Hva som egentlig er nødvendig å behandle om arbeidstaker kan det derimot reises tvil om. Selv om lovhjemmel ikke foreligger og samtykke i det enkelte tilfellet ikke er innhentet, kan arbeidsgiver likevel påberope seg en nødvendig grunn for behandlingen av personopplysninger om arbeidstaker. Av særlig interesse er bokstav a) som i et ansettelses- forhold er rettet mot oppfyllelse av arbeidsavtalens innhold.79

Popplyl. § 8 bokstav a) lyder følgende: Personopplysninger kan bare behandles dersom be- handlingen er nødvendig for ”å oppfylle en avtale med den registrerte, eller for å utføre gjø- remål etter den registrertes ønske før en slik avtale inngås”. Dette tilsier at bokstav a) ikke kan være hjemmel for behandling av personopplysninger som ikke har til formål å oppfylle arbeidsavtalen.

En arbeidsavtale er en kontrakt der arbeidstaker stiller sin arbeidskraft til disposisjon for ar- beidsgiver, normalt mot et vederlag. Minstekrav som stilles til arbeidsavtalens innhold følger av aml. § 14-6. Bestemmelsen taler for at ”arbeidsavtalen” bør tolkes snevert. Ifølge bestem- melsen skal arbeidsavtalen bestå av opplysninger om forhold av vesentlig betydning. Dette vil typisk være opplysninger om arbeidsplass, beskrivelse av arbeidstakers oppgaver i virksomhe- ten, arbeidstakerens rett til ferie og feriepenger, oppsigelsesfrister, lønn ved arbeidsforholdets startsfase, pauselengder, samt. avtalt arbeidstid. Dette trekker i retning av at relevante plikter i forhold til en arbeidsavtale vil være lønnsutbetaling, utføre oppgavene som er knyttet stilling- en i virksomheten, samt. det å ankomme arbeidsplassen tidsnok. Arbeidsgivers behandling av slike opplysninger hvor formålet er å oppfylle disse rettigheter og plikter som nevnt ovenfor, er dermed relatert til arbeidsavtalen, og popplyl. § 8 bokstav a) kommer dermed til anvendelse ved behandlingen.

Datatilsynet har listet opp eksempler på personopplysninger som en arbeidsgiver som hoved- regel vil ha grunnlag for å behandle med utgangspunkt i §§ 8 a jf. 9 f. Av denne listen er det 24 personopplysninger som er oppstilt, blant annet; navn, adresseopplysninger, sivilstatus, fødselsnummer, lønnsopplysninger, m.m.80

Utbetaling av lønn er et veldig sentralt element ved et ansettelsesforhold, og er normalt nød- vendig for å oppfylle en arbeidsavtale. Utbetaling av riktig lønn til rett person er et betyd- ningsfullt formål. Videre vil registreringen av opplysningene ikke medføre et stort inngrep i arbeidstakers personvern. Omfangsbegrensningen setter derimot grenser for hva som er å reg- ne som nødvendige opplysninger i det aktuelle tilfellet. Det må foretas en vurdering av om

79 Johansen (2001) s. 100.

80 Datatilsynet (2011a) og Kjølaas (2010) s. 127-128.

(22)

19

behandlingen er nødvendig. Dette gjelder i forhold til hvilke type opplysninger det er snakk om i forhold til arbeidstakeren, og i forhold til selve formålet med behandling, jf. punkt 2.3.3.

2.3.3.3 Personopplysninger som er nødvendig for å ivareta en berettiget interesse Selv om det ikke foreligger behandlingsgrunnlag etter arbeidsavtalen, kan arbeidsgiver likevel påberope seg en nødvendig grunn etter bokstav f) for behandlingen av personopplysninger om arbeidstaker. Bokstav f) er et siste alternativ dersom ønsket behandling ikke finner hjemmel i noen av de øvrige alternativene. Nødvendighetskravet etter popplyl. bokstav f) har et videre anvendelsesområde enn bokstav a).

Ifølge popplyl. § 8 bokstav f) kan arbeidsgiver behandle personopplysninger der dette er nød- vendig for å ” ”ivareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen”. Bestemmelsens ordlyd tilsier at behandlingen kun skal skje i den utstrekning personopplysningene er nødvendig for å ”ivareta en berettiget interesse”.

Nødvendighetskravet er dermed ikke knyttet til et bestemt formål slik som de andre nødven- dighetskravene i bestemmelsen. Det skal foretas en interesseavveining mellom arbeidsgivers behov for å behandle opplysningene på den ene siden, og arbeidstakers personvern på den annen side. Dersom arbeidsgivers nødvendige grunn til å behandling av opplysningene over- stiger arbeidstakers personvernhensyn, vil det dermed foreligge en ”berettiget interesse”. Lo- vens forarbeider viser at det ved en slik vurdering vil hensynet til personvern veie tungt.81 I visse tilfeller kan dette grunnlag være det eneste mulige behandlingsgrunnlaget for arbeids- givers behandling av personopplysninger. Bestemmelsen er en type post for de behandlinger som ikke faller inn under bokstav a) – e), men som likevel sees for å overgå betydningen til arbeidstakers personvern.82

Et typisk tilfelle som vurderes etter popplyl. § 8 bokstav f) er adgangen til å behandle person- opplysninger om arbeidstaker etter kontrolltiltak i ansettelsesforhold etter aml. kapittel 9. For at denne behandlingen etter kontrolltiltak skal anses lovlig må ikke arbeidstakers personvern- interesser overstiger arbeidsgivers interesse slik som tidligere nevnt.

Høyesterett tok i den såkalte e-postkjennelsen83 stilling til om e-post som ble sendt til og fra epostkontoen til arbeidstaker kunne legges frem som bevis i en sak som gjaldt avskjed uten at samtykke fra arbeidstaker var innhentet. Generelt har ikke arbeidsgiver rett til å lese e-post

81 Ot. Prp. nr. 92 (1998-1999) s. 109.

82 Johansen m.fl. 2011 s. 103.

83 RT 2002 s. 1500.

(23)

20

som arbeidstaker mottar som privatperson uten at arbeidstaker har samtykket, men dersom e- postene er virksomhetsrelaterte vil arbeidsgiver derimot ha rett til innsyn.84

Høyesterett kom frem til at arbeidsgiver hadde en ”berettiget interesse” ettersom e-postenes innhold var å anse som ”virksomhetsrelaterte” etter § 8 bokstav f). De kom frem til at ar- beidsgiverens interesse i å lese disse e-postene oversteg hensynet til arbeidstakers personvern, og dette var dermed bevis som var lovlig innhentet.

Et annet tilfelle der arbeidstaker kan behandle personopplysninger etter bokstav f) vil typisk være ved bemanningsplanlegging. Ved bemanningsplanlegging er det ofte et ønske å vite hvordan den ansatte presterer. På et call-senter eller på et lager vil normalt bruken av opplys- ninger foregå på et gruppenivå. Skjer innsamling og bruk av personopplysninger på gruppe- nivå, vil behandlingen av personopplysningene ikke utgjøre stor personverntrussel. Behand- lingsgrunnlaget vil dermed kunne være popplyl. § 8 bokstav f); hvor arbeidsgiver har en be- rettiget interesse.85

Et tredje tilfelle som kan behandles etter popplyl. § 8 f) er der behandlingen gjelder arbeids- søkere. Her vil arbeidsgiver normalt ha en ”berettiget interesse” i å vite om søkeren er egnet for nettopp den stilling. Her vil ikke arbeidssøkerens personvern overstige arbeidsgivers inter- esse. Grunnet begrensingene i punkt 1.3 vil jeg ikke gå nærmere inn på dette.

2.3.4 Rangering av behandlingsgrunnlag

Ut i fra ordlyden i popplyl. § 8 er behandlingsgrunnlagene likestilte. Ingen av behandlings- grunnlagene har etter ordlyden en preferert posisjon som rettsgrunnlag etter loven. Det opp- står ingen problemer om hvilket rettslig grunnlag arbeidsgiver skal benytte seg av ved be- handling av personopplysninger hvis det foreligger hjemmel i lov. Her har lovgiver allerede vurdert behandlingen og funnet den ønskelig, jf. punkt 2.3.1. Dersom en slik behandlings- grunnlag foreligger er prioriteringen klar.86 Hva som er å anses for å være hjemmel i lov og hva som kreves for at denne lovhjemmelen er å anse som tilstrekkelig er behandlet i punkt 2.3.1. Hvis det ikke foreligger lovhjemmel blir spørsmålet om det er samtykke eller en av de alternative nødvendige grunner som skal legges til grunn som rettslig grunnlag.

Forarbeidene til popplyl. påpeker at intensjonen til lovgiver ved behandlingen av personopp- lysninger har vært at dersom lovhjemmel ikke foreligger, så skal behandlingen oftest baseres

84 Datatilsynet (2011b) og personopplysningsforskriften kap. 9.

85 Finansnæringens arbeidsgiverforening (2009) s. 5.

86 Kjølaas (2010) s. 63.

(24)

21

på samtykke, jf. ”bør”.87 Den enkelte skal kunne ha mulighet til å råde over sine egne opplys- ninger, samtidig som man ønsker å unngå tvil som kan forekomme dersom man benytter seg av de skjønnsmessige kravene som stilles til nødvendig grunn som behandlingsgrunnlag.88 Tidligere nemdpraksis bekrefter dette, hvor det det fremkommer at bruk av nødvendig grunn som behandlingsgrunnlag fremfor samtykke bare kan skje når det er begrunnet: ” For at man skal kunne gjøre et avvik fra hovedprinsippet, må det derfor foreligge en begrunnelse. Denne begrunnelsen kan(…)ikke bare være en ren hensiktsmessighetsbetraktning, f eks å unngå kostnader, spare tid eller lignende – selv om slike begrunnelser selvsagt også må vurderes konkret i forhold til den enkelte sak”.89

På den annen side følger det av nyere nemdpraksis at de ulike behandlingsgrunnlagene i popplyl. er å anse likestilte. Det uttales følgende: ”(...)Nemnda skal bemerke at etter en natur- lig språklig forståelse av lovteksten i personopplysningsloven § 8 fremstår de ulike behand- lingsgrunnlagene (samtykke, lov eller nødvendig) som likeverdige)”.90 Avgjørelsen trekker i en annen retning enn hva personvernnemda har kommet frem til tidligere. 91 I den såkalte STAMI-saken fremkommer det at ”(d)atatilsynet har understreket at hovedregelen er at be- handlingen bygger på samtykke”.92 Synet om at behandlingsgrunnlagene er likestilte frem- kommer videre av juridisk litteratur,93 og uttalelser fra Artikkel 29-gruppen. I Artikkel 29- gruppens uttalelser understrekes det videre at andre behandlingsgrunnlag kan være likt bedre, både synet til den behandlingsansvarlige og fra synet til den registrerte. Dette gjelder særlig der det er usikkerhet om samtykke i det hele tatt er gyldig.94 Dette tilsier dermed at det ikke er noe klart utgangspunktet for at det er noe rangering mellom de alternative rettslige grunner.

Den nye oppfatningen hvor behandlingsgrunnlagene anses likestilte er på mange rettsområder en god utvikling. Den behandlingsansvarlige vil nå være mer opptatt av å vurdere hvilket rett- slig grunnlag som fremmer formålet med loven best, i stedet for å være opphengt i range- ringen. Ulempe kan forekomme hvor behandlingen vil svekke den registrertes personvern ved å forårsake konsekvenser som kan virke inngripende. Samtykke burde derfor likevel innhen- tes der slike forhold foreligger. Dette vil typisk være tilfellet i et ansettelsesforhold.

87 Ot prp. nr. 92 (1998-1999) s. 109.

88 Johansen (2001) s. 97-98.

89 PVN-2004-1 punkt 6.2.

90 PVN-2012-01 punkt 8.

91 PVN-2004-1 punkt 6.1.

92 PVN-2004-1 punkt 6.1.

93 Schartum (2011) s. 166-167.

94 Artikkel 29-gruppen (2011) s. 2 og 10.

(25)

22

Selv om popplyl. § 8 sine alternative behandlingsgrunnlag er likestilte, er det dermed ikke slik reguleringen foregår i arbeidslivet. Samtykke som behandlingsgrunnlag vil være mindre aktu- elt grunnet maktposisjonen arbeidsgiver har og følgene dette kan innebære for arbeidstaker, jf.

punkt 2.3.2.2. Dette gjelder særlig der det foreligger noe inngripende behandling av person- opplysninger. Rangeringen av behandlingsgrunnlag i et ansettelsesforhold er dermed ikke å anse likestilte.

(26)

23

3 Grunnlag for å behandle personopplysninger etter EUs personvernforordning

3.1 Innledning

I dette kapittelet vil jeg behandle kravet til behandlingsgrunnlag etter EUs personvernforord- ning. Spørsmålet er om vilkårene for rettslig grunnlag i et ansettelsesforhold etter popplyl. § 8 er i tråd med de krav som stilles etter forordningens art. 6. For å besvare dette spørsmål er det nødvendig å klargjøre hva som stilles av kravene for rettslig grunnlag etter personvernforord- ningen. Jeg vil først foreta en kort introduksjon av EUs personvernforordningen. I den videre analysen vil jeg fortløpende foreta en før/etter sammenligning av reglene om behandlings- grunnlag i ansettelsesforhold som fremkommer etter personvernforordningen opp i mot regle- ne om behandlingsgrunnlag i ansettelsesforhold som følger av dagens lovgivning.

3.2 Introduksjon av EUs personvernforordning

EUs personvernsforordning ”General Data Protection Regulation” 2016/679 av 27. april 2016 styrker borgerens kontroll og tilgang over egne personopplysninger. Personvernforordningen tar for seg bruken og anvendelsen av personvern i EU. Dagens personvernlovgivning vil til- sidesettes, ettersom forordningen erstatter personverndirektiv 95/46/EF som er tatt inn i EØS- avtalen og er gjennomført i den norske personvernlovgivningen. Forordningen forventes å gjelde i EUs medlemsland fra 25 mai 2018.95 Forordningen kan gjelde for Norge fra samme tidspunkt gitt at den innlemmes i EØS-avtalen og gis virkning gjennom lov/forskrift.

Formålet med forordningen er å utveksle personopplysninger fritt innenfor EØS-området, samt å få en sikrere beskyttelse av den enkelte borgers personopplysninger.96 Reguleringen skal dermed tilpasses den behandling av personopplysninger som skjer i dagens digitale sam- funn. Forordningen fører til harmonisering av reglene om personvern i EU/EØS. En slik har- monisering av reglene i EU/EØS vil medføre mer oversikt og hindre den ulike gjennomfø- ringen av regelverket i ulike land.

Forordningen skal implementeres direkte, i motsetning til direktivet som er transformert gjen- nom lov.97 Etter direktivet skal landet selv utforme innholdet som skal se til at direktivets mål blir nådd.98 Direktivet har av den grunn ført til at det er variasjoner i personvernlovgivningen i

95 Personvernforordningen art. 99.

96 Personvernforordningen art. 1 og fortalen punkt 14.

97 EØS-loven art. 7.

98 EØS-loven art. 7.

(27)

24

EU/EØS. Forordningen stiller dermed strengere krav enn dagens personverndirektiv. Forord- ningen åpner likevel for at nasjonale regler kan gis i noen tilfeller.99

Gjennomføringen av forordningen innebærer at stortinget ikke lenger har like stor makt over personvernregelverket, sett bort ifra at en rekke bestemmelser som allerede nevnt fortsatt leg- ger opp til nasjonale tilpasninger. er bindende etter sin ordlyd, og binder hvert enkelt med- lemsland.

Først og fremst er forordningen større med hele 173 punkter i fortalen og 99 artikler, i forhold til EU-direktivets 52 artikler. Forordningen er mer tydelig og detaljert. Dette medfører mange endringer i dagens personvernlovgivning. Det er av den grunn viktig at arbeidsgiver og dens virksomhet tilpasser seg det nye regelverket.

Ifølge forordningens art. 3 er alle virksomheter som samler, har eller bruker personopplys- ninger om borgere fra EU og/eller EØS omfattet av den nye personvernforordningen. Forord- ningen vil derfor få store konsekvenser for norske virksomheter i forhold til hvordan man oppbevarer og behandler personopplysninger. Dette vil i et ansettelsesforhold typisk være opplysninger om ansatte. De nye reglene som fremkommer i forordningen vil også gjelde for virksomheter utenfor EU/EØS som behandler personopplysninger om ansatte i EU og/eller EØS. Det geografiske anvendelsesområde er dermed i stor grad utvidet etter forordningen i forhold til dagens lovgivning, jf. popplyl. § 4.

Det er den virksomheten som etter forordningen besitter opplysningene om den ansatte, som er den som har ansvaret for at personopplysninger blir behandlet riktig, jf. ”accountability”.100 Virksomheter har fått et større ansvar for behandling av personopplysninger. Det har ført til at arbeidsgivers informasjonsplikt er blitt mer utstrakt enn tidligere, jf. art. 13 og 14. For at per- sonopplysningene skal kunne brukes må det foreligge et behandlingsgrunnlag for at behand- lingen skal anses lovlig.101 Derfor er det viktig at virksomheten har kontroll over opplysninger om den ansatte.

3.3 Hovedregel om behandlingsgrunnlag i personvernforordningen

Slik som etter gjeldende rett er behandling av personopplysninger er ulovlig med mindre det finnes et rettslig grunnlag for behandlingen.102 Hva som er å anse som gyldig behandlings- grunnlag fremgår i forordningen art. 6 (1) ved behandling av generelle personopplysninger,

99 Fortalen punkt 8.

100 Forordningen art. 5 (2).

101 Forordningen art. 6.

102 Forordningen art. 6 og fortalen punkt 40. Popplyl. § 8.

(28)

25

art. 9 og art. 10 ved behandling av sensitive personopplysninger, og i forordningens kapittel IX for behandling av personalopplysninger i spesielle situasjoner. Den videre fremstillingen avgrenser til en gjennomgang av art. 6 (1).

Sammenlignet med dagens lovgivning er forordningens art. 6 stor sett lik og bygget opp på samme måte som personverndirektivets art. 7 som popplyl. § 8 bygger på, men med noe an- nerledes ordlyd. Personvernforordningen art. 6 innebærer ved første øyekast såfremt ikke en endring av gjeldende rett.

Forordningens art. 6 har tittelen ”lawfulness of prosessing”, altså rettslig behandling av per- sonopplysninger, jf. art. 4(1 og 2) og jf. popplyl. § 2 nr. 1 og 2. Personvernforordningen art.

6(1) fastsetter de vilkår som utgjør det rettslige utgangspunktet for behandling av personopp- lysninger. For enhver behandling av personopplysninger, skal det foreligge rettslig grunnlag for behandlingen. For at arbeidsgiver skal behandle personopplysninger etter personvernfor- ordningen må ett av vilkårene i art. 6 være oppfylt, jf. ”Processing shall be lawful only if and to the extent that at least one of the following applies”, jf. art. 6 nr. 1. I bestemmelsen oppstil- ler personvernforordningen seks alternative grunnlag for behandling av personopplysninger.

Lovlig behandling av personopplysninger kan etter forordningen art. 6 (1) skje når:

a) The data subject has given its consent to the processing, b) Processing is necessary for the performance of a contract, c) Processing is necessary for compliance with a legal obligation,

d) Processing is necessary to protect the vital interests of the data subject,

e) Processing is necessary for the performance of a task carried out in the public interest or in the exercise of a public authority vested on the controller,

f) Processing is necessary for the purposes of the legitimate interest of the data controller un- less such interest contrast with the fundamental rights and freedoms of the data subject.”

Ordlyden i bestemmelsen tilsier at lovlig behandling etter personvernsforordningen kan fore- gå dersom et av disse øvrige seks alternative vilkårene i bokstav a) til f) er oppfylt. Vilkåret i bokstav a) er at ”den registrerte har gitt sitt samtykke”, mens vilkåret i bokstav b til f er at

”behandlingen er nødvendig” for den enkelte årsak. Nødvendighetskravet innebærer at det skal være proporsjonalitet ved behandlingen av personopplysninger.103 Dette er i overen- stemmelse med nødvendighetskravet som stilles etter gjeldene rett.104

103 Forordningen art. 5 (1c).

104 Datatilsynet (2011c).

Referanser

Last ned nå ( PDF - 46 sider - 601.77 KB )

RELATERTE DOKUMENTER

ARBEIDSGIVERS ADGANG TIL Å KONTROLLERE OG OVERVÅKE SINE ANSATTE

«dersom noen kan gjøre opplysningene lesbare og dermed identifisere perso-.. nene som opplysningene vedrører». Det spiller heller ingen rolle om identifi- seringen kun vil være

Samtykke til å behandle personopplysninger i offentlig forvaltning

Det er mulig å skjelne mellom plikt til å innhente samtykke på den ene side og, på den annen side, forvaltningsorganers adgang til å be om samtykke selv om dette ikke er lovpålagt.

Arbeidsgivers adgang til å innsnevre utvelgelseskretsen ved nedbemanning

I Gresvig-dommen slo Høyesterett fast at hvis arbeidsgivers avgrensning av utvelgelseskretsen er usaklig, vil oppsigelsen være ugyldig med mindre arbeidsgiver kan påvise at utfallet

Arbeidsgivers adgang til å kreve medisinske undersøkelser av ansatte og arbeidssøkende

arbeidsgiver. De britiske myndighetene erkjente da at “the College was a public body for whose actions the State was directly responsible under the Convention”. 8 i visse tilfeller

Arbeidsgivers adgang til å pålegge arbeidstaker å fratre i oppsigelsestiden

Når terskelen for fratreden i tillegg skal være betydelig høyere i oppsigelsestiden, 145 samt at det skal relativt mye til for at arbeidstaker skal fratre etter oppsigelsestiden

Arbeidstakers personvern ved arbeidsgivers iverksetting av kontrolltiltak etter arbeidsmiljøloven § 9-1 (1), særlig ved kameraovervåkning som kontrolltiltak, og behandlingen av personopplysningene etter personopplysningsloven art. 6 nr. 1.

I den forbindelse undersøkes det når arbeidstakers personvern må vike for arbeidsgivers behov for behandling av personopplysninger, i delen av prosessen der arbeidsgiver har

4. Bestemmelser om behandling av personopplysninger

Innhenting og behandling av personopplysninger til studieadministrative formål (1) Utdanningsinstitusjonen kan behandle personopplysninger om en søker, student eller

Ny forordning om behandling av personopplysninger

– for ikke å ivareta den BA/ DB plikter: opp til 1 mil EUR, eller 2% av global omsetning per år;. – behandling uten behandlingsgrunnlag mm: opp til 2 mil EUR,