• No results found

Veileder om kontroll og overvåking i arbeidslivet – 2019

N/A
N/A
Info
Nedlasting
Protected

Academic year: 2023

Share "Veileder om kontroll og overvåking i arbeidslivet – 2019"

Copied!
59
0
0

Laster.... (Se fulltekst nå)

Last ned nå ( 59 sider )

Fulltekst

Det er heller ikke et krav at opplysningene skal være sanne for at de skal anses som personopplysninger – det er tilstrekkelig at de er knyttet til en person. Arbeidsgiver har ansvar for at helse, miljø og sikkerhet er ivaretatt og at ansatte ikke utsettes for uheldig fysisk eller psykisk påkjenning som følge av kontrolltiltak. Ansatte med lederansvar skal sørge for at helse, miljø og sikkerhet (HMS) er ivaretatt.

Databehandler

Personvernombud

For å lykkes er det nødvendig at ansatte deltar i planlegging, kartlegging, daglig drift og å finne gode løsninger. Figuren på neste side beskriver de fire stadiene når kontrolltiltak innføres: behovsvurdering og kartlegging, beslutning, planlegging og forberedelser, gjennomføring, og evaluering og oppfølging. Når du går gjennom alle ledd, tar du vare på både arbeidsmiljø og personvern.

Regelverkslenke

  • Hva ønsker virksomheten å oppnå?
  • Hvilke løsninger dekker behovet?
  • Er den arbeidsmiljømessige risikoen og personvernkonsekvensene kartlagt og vurdert?
  • Er det gjort en risikovurdering av informasjonssikkerheten?

Verneombudet skal konsulteres under planlegging av alle tiltak som påvirker arbeidsmiljøet, også når det planlegges kontroll- og overvåkingstiltak. Alle tiltak som kan påvirke ansattes fysiske eller psykiske helse og sikkerhet, samt personvernet til ansatte, skal identifiseres og vurderes. Ved innføring av nye tiltak som får konsekvenser for IKT-systemer og informasjonssikkerhet, skal virksomheten gjennomføre en risikoanalyse.

Videre lesning

Har arbeidsgiver drøftet tiltakene med arbeidstakernes tillitsvalgte?

Det er mulig for en virksomhet å endre formålet med et tiltak, for eksempel fordi en evaluering tilsier at det er nyttig. Vurder om og hvordan tiltaket vil gripe inn i de ansattes rett til privatliv, for eksempel hvor sensitiv informasjonen er, og hvor mye tiltaket vil påvirke de ansattes hverdag. Vurder om tiltaket kan ha negative konsekvenser for arbeidsmiljøet, for eksempel i form av økt tidspress og stress, følelse av å bli overvåket, mindre selvbestemmelse og frihet på jobben eller andre arbeidsorganiseringsutfordringer.

Regelverkslenker

  • Har arbeidstakerne fått informasjon om tiltaket?
  • Er kontrolltiltaket innarbeidet i virksomhetens system for internkontroll?
  • Er det laget planer for opplæring?
  • Fungerer systemer og rutiner som planlagt?
  • Gjøres nødvendige utbedringer underveis?
  • Blir informasjonsplikt og henvendelser om innsyn, retting og sletting ivaretatt?
  • Har kontrolltiltaket den ønskede virkningen
  • Bør det gjøres endringer?
  • Har virksomheten gode rutiner for revisjon av egen informasjonssikkerhet og internkontroll?

Vurder om tiltaket krever en personvernkonsekvensvurdering (DPIA) i henhold til artikkel 35 i personopplysningsforordningen. Sjekk om personvernmangler kan reduseres med gode tekniske og/eller organisatoriske løsninger, f.eks. - i personvern og personvernvennlig teknologi. I tillegg til kravet om internkontroll er det også krav til nødvendig opplæring og rutiner for å sikre at personopplysninger brukes i samsvar med regelverket.*.

Etablere et tilstrekkelig sett med rutiner for å sikre at personopplysninger brukes på den måten virksomheten har bestemt og i henhold til regelverket. Etablere rutiner for hvordan virksomheten skal håndtere innsynsforespørsler og eventuelle andre rettigheter for de opplysningene gjelder. I tillegg er det en del andre oppgaver som må løses underveis, som å håndtere avvik, gi informasjon til nyansatte og få tilgang til egen informasjon til de som etterspør det.

Virksomheten må vurdere om tiltaket bidrar til å nå opprinnelig satt mål, eller om det ikke har noen effekt. Det kan for eksempel bety at færre skal ha tilgang til personopplysningene, at oppbevaringsperioden bør justeres, eller at opplysningene kan gjøres mindre identifiserbare eller behandles på gruppenivå. Virksomheten skal ha rutiner for rapportering til ledelsen og ansvarlige om sikkerhetshendelser, avvikshåndtering og egenkontroll.

Vurder om kontrolltiltaket fortsatt er aktuelt og om det er innført nye og andre tiltak som gjør dette tiltaket overflødig.

Lær mer om

Kameraovervåking

Oversikten er ikke uttømmende, men viser eksempler på tiltak som er vanlige på mange arbeidsplasser. Kameraovervåking skal ha et klart formulert formål og det som vises fra hvert kamera skal være relevant for dette formålet. Overvåkingen skal være forholdsmessig, det vil si at den skal kunne forsvares i en interesseavveining mellom behovet for overvåkingen på den ene siden og personvernulemper på den andre.

I områder hvor det i hovedsak kun ferdes ansatte, skal dette generelt ikke kontrolleres. Slike områder kan bare overvåkes dersom det er nødvendig for å forebygge farlige situasjoner, ivareta ansattes eller andres sikkerhet eller dersom det på annen måte er særlig behov for overvåking. Det betyr at det kreves mer for å overvåke slike områder enn steder som er tilgjengelige for alle, for eksempel områder i en butikk som er tilgjengelige.

Det vil da være et krav at arbeidsplassen vurderes å ha særlig høy sikkerhetsrisiko. Steder hvor det utføres risikofylt produksjon eller hvor det er store sjanser for ran, som banker og postkontorer, er typiske eksempler. Dette vil imidlertid kun gjelde de spesifikke områdene hvor det er betydelig risiko, for eksempel steder hvor kontanter håndteres eller hvor det er plassert safer.

For eksempel kan kravene være oppfylt når det gjelder overvåking av en kassa hvor penger oppbevares, men ikke resten av området bak butikkdisken.

Sletting og utlevering

Noen kameraer gjør det mulig å se opptak i sanntid på en mobiltelefon eller bærbar datamaskin, uansett hvor du er.

Krav til sikring av opptak og anlegg

Skilting om kameraovervåking og informasjon

Innsyn i e-post og annet elektronisk lagret materiale

Dersom samme mål kan nås på andre og mindre belastende måter, er tilgang til e-postkassen ikke nødvendig og derfor heller ikke tillatt. Typiske eksempler er arbeidstakers hjemmeplass på serveren, PC-en som arbeidstakeren bruker på jobb, mobiltelefonen som arbeidsgiver har utstyrt arbeidstaker med, nettbrett osv. Det er ingen grunn til å avtale tilgang i andre situasjoner enn de nevnt ovenfor, men arbeidstaker kan gi arbeidsgiver uoppfordret tilgang, for eksempel ved uventet sykdom.

Arbeidstaker skal så langt det er mulig varsles før tilsynet og gis anledning til å uttale seg. Arbeidsgiver kan likevel ta sikkerhetskopi, ofte kalt speilkopier, før det gis melding eller innsyn dersom det er fare for at opplysningene går tapt. I tillegg bør ansatte så langt det er mulig få være til stede ved gjennomgangen dersom de ønsker det, sammen med konsulent eller annen representant.

Ved behov skal næringsrelatert materiale flyttes til områder som andre har tilgang til, og alt privat materiale skal slettes.

Adgangskontroll

Tidsregistrering

Eksempel

36Veskekontroll

Kontroll av vesker i en bryggeribedrift

Hemmelig kunde/gjest»

Hemmelig kunde»

38Bruk av styringsverktøy utenfor

Det er viktig at alle formål registreres skriftlig, slik at det er lett å forstå hva informasjonen kan og ikke kan brukes til.

Opptak av telefonsamtaler

Bruk av PDA i

Tilgang til ansattes mobiltelefon – Mobile Device management

Arbeidsgivers overvåking av biler

Avfallsservice-dommen

Formålet med en elektronisk kjørejournal er å gi vurderingsmyndigheter dokumentasjon på at kjøringen har vært profesjonell. Dersom virksomheten registrerer flere personopplysninger enn det som kreves dokumentert, behandler arbeidsgiver personopplysningene utenfor omfanget. For flåtestyring bruker selskapet sporingsenheter som gir oversikt over hvor bilene i flåten til enhver tid befinner seg.

Avtaleinngåelse gir ikke arbeidsgiver større adgang til å behandle detaljopplysninger enn de ellers ville hatt, selv om de har inngått avtale eller vunnet et anbud der de forplikter seg til å dele den type personopplysninger med medkontrahentutleveringen. . Det hender at arbeidsgivere ikke er klar over hvilke registreringsmuligheter som finnes i løsningene de har anskaffet. Arbeidsgiver plikter uansett å ha oversikt over hvilke personopplysninger sporingsenheten registrerer.

Arbeidsgiver skal vurdere om personopplysningene er nødvendige for å oppnå formålet med kontrolltiltaket og sørge for at tiltaket innføres i samsvar med reglene (se fase 1-4).

Videre lesning Regelverkslenke

Innhenting av helseopplysninger ved ansettelse

Eksempler på slike yrkesgrupper er

44Medisinske undersøkelser og rus-testing av

Nemnda uttaler at dersom virksomheten begrenser prøving til de som utfører vakthold til beskyttelse av personer mv., vil en prøving kunne være tilstrekkelig begrunnet dersom arbeidsgiver anser det nødvendig for å beskytte «liv eller helse». Arbeidsgiver må i slike tilfeller også kunne påvise saklig grunn og sørge for at tiltaket ikke blir en uforholdsmessig belastning. (Les mer om denne vurderingen.) En legeundersøkelse kan være ulovlig dersom dette tiltaket resulterer i summen av kontrolltiltak. i selskapet er for høyt. For eksempel kan en isolert blodprøve være akseptabel, mens innføring av daglig blodprøve kan overskride toleransegrensen.

I vurderingen la de blant annet vekt på at arbeidsgiver foretok en konkret vurdering av i hvilken grad den forstyrrede vurderingen er kritisk for sikkerheten, og hvor mange hindringer som vil kunne fange opp avvik. På bakgrunn av disse vurderingene har arbeidsgiver kommet til hvilke arbeidstakere som har jobber «som utgjør en særlig risiko» og derfor er testet. Det ble blant annet fremhevet at den forbedrede testrutinen bidro til å redusere belastningen for de berørte ansatte.

Arbeidsgivers adgang til å innføre kontrolltiltak og arbeidstakernes plikt til å samarbeide er et arbeidsrettslig spørsmål som i første rekke reguleres av arbeidsmiljøloven. Arbeidsgivers rett til å behandle opplysningene som samles inn gjennom kontrolltiltaket, som kan knyttes til konkrete ansatte, er et personvernrettslig spørsmål som primært reguleres av personopplysningsloven og personopplysningsforordningen. Arbeidsmiljølovens regler om innføring av kontrolltiltak og personopplysningsforordningens regler om behandling må derfor tolkes og praktiseres i lys av hverandre.

Balansen mellom arbeidsgiverens styringsrett og arbeidstakerens rett til personvern

For at kontrolltiltaket skal være lovlig, må virksomhetens behov for kontrolltiltaket veie opp for ulempene for den ansatte. Både arbeidsmiljøloven og personopplysningsforordningen understreker at det skal være en saklig begrunnelse for å kontrollere og samle inn opplysninger om ansatte. Personvernpåbudet veier også belastningen for den registrerte (arbeidstakeren) opp mot arbeidsgivers behov for registrering.

Etter artikkel 6 i personopplysningsforordningen skal det foreligge et behandlingsgrunnlag for at behandling av personopplysninger skal være lovlig. Arbeidsgiver må da balansere virksomhetens behov for personopplysninger mot den enkeltes behov for personvern. Både arbeidsmiljøloven og personopplysningsforordningen legger vekt på at virksomheten skal sørge for at den minst inngripende metoden velges og at behandlingen samlet sett er forholdsmessig.

Særlige kategorier av personopplysninger kan behandles der det er nødvendig for den behandlingsansvarlige å utføre sine arbeidsrettslige plikter eller rettigheter. Regelmessig evaluering er en viktig måte å sikre at summen av kontroller i bedriften ikke blir for stor. Det er derfor egne regler om informasjon, og arbeidsgivere skal tydelig og åpent informere om sine handlinger.

Arbeidsmiljølovens regler om innføring av kontrolltiltak og personopplysningsforordningens regler om behandling av personopplysninger stiller stort sett de samme kravene til arbeidsgiver når det gjelder bruk av kontrolltiltak.

Les mer om

Arbeidstilsynet

Datatilsynet

Kontaktinformasjon

Personvernnemnda

Petroleumstilsynet

Figur

Kort om nøkkelbegrepene 7

Referanser

Last ned nå ( PDF - 59 sider - 2.10 MB )

Outline

Balansen mellom arbeidsgiverens styringsrett og arbeidstakerens rett til personvern

RELATERTE DOKUMENTER

Få oppslutning om oppgradering! – Veileder for styrer I borettslag og sameier

Når styret opplever at eierne og beboerne har fått god innsikt i oppgraderingssaken, kan styret kalle inn til ekstra- ordinær generalforsamling eller sameiermøte.. Den ordinære

Utfordringer i privat eierskap : en undersøkelse av eksistensen av signifikante ulikheter i fleksibilitet og omstillingsevne blant eierledede-, ikke eierledede-, og ikke familiebedrifter.

bedriften så har befestet sin stilling og har et stort antall ansatte, er det sannsynlig at strategien til bedriften er mer langsiktig enn på gründer og mellomstadiet. Bedriften

Sluttrapport om kontroll av tilskuddsforvaltningen i jord- og skogbruket i SIGDAL kommune

Merknad 1: SMIL – vedtak mangler vurdering av søknaden opp mot strategiplanen Fakta: Vedtakene i de 2 kontrollerte sakene fra 2014 og én kontrollert sak fra 2015 inneholder

Søknad om regionalt miljøtilskudd i Østfold, Oslo og Akershus og Buskerud - 2019

Jeg er kjent med reglene i forskrift om regionalt miljøtilskudd i fylket og forsikrer at opplysningene i søknaden er fullstendige og korrekte. Kart med inntegning av tiltak og

Høring om ratifikasjon av ILO-konvensjon nr. 190 om avskaffelse av vold og trakassering i arbeidslivet, og om endringer i arbeidsmiljølovens regelverk om trakassering.

forebygge overtredelser av krav fastsatt i eller i medhold av arbeidsmiljøloven, jf. Dette vil etter departementets syn også omfatte rutiner for å avdekke, rette opp og forebygge

REGION SØR: SVAR PÅ HØRING OM ENDRINGER I POLITIREGISTERLOVEN, POLITIREGISTERFORSKRIFTEN OG UTLENDINGSLOVEN

Ansatte som bruker rusmidler som ikke er fremskaffet legalt, vil representere en risiko i fengslene og være sårbare for press og trusler.. I en vurdering av

Høringsinnspill fra Programområde for forskning innen Kvalitet og Sikkerhet i Helsesystemer, Institutt for Helsefag, Universitetet i Stavanger.

Med erkjennelsen av at helseforetakene ikke i tilstrekkelig grad tar lærdom av hendelser og følger disse opp med tiltak for å redusere risiko for gjentagelser er det grunn til

Et midlertidig kvalitetsproblem? : en case-studie om sammensetningen av midlertidige og faste ansatte i norsk helsevesen

I tillegg viser gjennomsnittlig avvik fordelt på fast og midlertidig ansatte at midlertidige er knyttet til flere avvik enn fast ansatte i begge testene, noe som betyr at