Ofte stilte spørsmål

• Hvilke opplysninger kan kreves i jobbintervjuet?

  • Under et jobbintervju er arbeidsgiveren ute etter å kartlegge hvem arbeidssøkeren er som person, hvilke kvalifikasjoner søkeren har, og om dette er en person som passer for stillingen. Det er ganske vide rammer for hva arbeidsgiveren kan spørre om under intervjuet. Likevel stiller arbeidsmiljøloven opp enkelte grenser. For eksempel er det ikke lov å spørre om seksuell legning eller om man er medlem i en arbeidstakerorganisasjon.

    Ytterligere begrensninger følger av likestillingsloven og diskrimineringsloven, slik som for eksempel et forbud mot å stille spørsmål om graviditet, adopsjon og planlagt familieforøkelse. Likestillingsloven og diskrimineringsloven håndheves av Likestillings- og diskrimineringsombudet, se Likestillings- og diskrimineringsombudet.

    Personopplysningsloven gjelder når opplysningene behandles elektronisk eller blir registrert i et personregister, for eksempel i en personalmappe. Selv om arbeidsgiveren har lov til å spørre en rekke personlige spørsmål under intervjuet, er det ikke sikkert at han har lov til å lagre dem i en personalmappe.

    Etter jobbintervjuet har arbeidssøkeren rett til å få vite hvilke opplysninger arbeidsgiveren har registrert i forbindelse med intervjuet. Dette gjelder uavhengig av om man får jobben eller ikke. Dette kan gjøres ved å henvende seg til arbeidsgiveren og be om innsyn med hjemmel i personopplysningsloven § 18, 2. ledd. Dersom vedkommende nekter å gi innsyn, kan man henvende seg til Datatilsynet for hjelp.

• Kan arbeidsgiver kreve en personlighetstest under et jobbintervju?

  • Hvis arbeidsgiveren lagrer testresultatet fra en personlighetstest på en slik måte at den knyttes til arbeidssøkeren, må arbeidsgiveren må følge reglene i personopplysningsloven. Dette innebærer blant annet at det må være saklig behov for å gjennomføre testen, og at resultatet ikke skal lagres lenger enn det som er nødvendig for formålet. Som hovedregel er det ikke nødvendig å gjennomføre personlighetstester av andre enn de mest aktuelle kandidatene.

• Kan arbeidsgiveren kredittvurdere meg?

  • Kredittopplysninger skal bare gis til den som har saklig behov for det. Som hovedregel vil det være når det ytes en eller annen form for kreditt. Dette innebærer at det bare i begrenset grad er anledning til å foreta kredittsjekk av en jobbsøker eller arbeidstaker. Følgende tre kriterier skal være oppfylt før arbeidsgiveren kan be om kredittsjekk:

    1. Den aktuelle stillingen skal ha en høyere funksjon,
    2. stillingen skal innbefatte et stort økonomisk ansvar, og
    3. kredittsjekk skal bare foretas på de søkerne som er aktuelle i sluttfasen av ansettelsesprosessen.

    Dette innebærer for eksempel at arbeidsgiveren kan kreve en kredittsjekk hvis stillingen det søkes på er økonomisjef, men ikke hvis stillingen er kassemedarbeider i en butikk.

    Arbeidsgiveren kan ikke lagre selve kredittsjekken. Det kan imidlertid noteres i personalmappen at kredittverdigheten er sjekket og funnet tilfredsstillende. Notatene bør datomarkeres.

• Kan arbeidsgiveren kreve vandelsattest?

  • Arbeidsgivere kan kreve at søkere til en stilling fremlegger politiattest når dette følger av lov eller forskrift. Dette gjelder for eksempel i vaktvirksomheter, skoler og barnehager. Arbeidssøkeren kan derfor be arbeidsgiveren om å få vite hvor det står at det skal innhentes vandelsattest.

    Det bør gå frem av stillingsutlysningen at vandelsattest kreves.

    Adgangen til å utstede politiattest er regulert i kapittel C i forskriftene til strafferegistreringsloven. Hvis arbeidsgiveren ikke har rett til å kreve vandelsattest vil man som regel heller ikke kunne få attest fra politiet.

    Arbeidsgiveren skal ikke oppbevare vandelsattesten etter at den er kontrollert, men kan notere ned om vandelsattest er mottatt og i så fall om den er funnet tilfredsstillende eller ikke. Dette kan for eksempel gjøres på et ansettelsesbevis som oppbevares i personalmappen til hver enkelt medarbeider eller på søknadspapirene.

    Noen arbeidsgivere som ikke har hjemmel i lov eller forskrift til å innhente vandelsopplysninger, eller som synes at politiattesten ikke gir tilstrekkelig med opplysninger, forsøker å omgå dette ved hjelp av egenerklæringer om vandel. Enkelte blir for eksempel bedt om å erklære at de har rent rulleblad, eventuelt opplyse hva de har gjort som har ført til pletter på rullebladet. Noen arbeidssøkere kan også få spørsmål om forhold som ligger så langt tilbake i tid at det ikke vil fremgå av en politiattest, eller om de tidligere har blitt frikjent i straffesaker. Bruken av slike egenerklæringer er en omgåelse av kravet til hjemmel i lov/forskrift. Arbeidssøkeren er ikke forpliktet til å gi fra seg denne typen opplysninger til arbeidsgiveren.

• Hvilke opplysninger kan headhuntere og rekrutteringsbyråer kreve?

  • Headhuntere eller konsulenter i rekrutteringsbyråer har ikke saklig behov for andre opplysninger om søkerne enn arbeidsgiveren i en ansettelsessituasjon. De har altså ikke anledning til å innhente og behandle andre opplysninger enn arbeidsgiveren.

    Reglene om rett til innsyn i opplysninger om en arbeidssøker hos arbeidsgiveren, gjelder også for rekrutteringsbyråene og headhunterene.

    Hos rekrutteringsbyråer og headhuntere bør CV-er og søknader i utgangspunktet slettes etter et år, eller når kandidaten har fått jobb. Dette gjelder ikke dersom kandidaten har samtykket til lengre lagring.

• Kan arbeidsgiveren kreve å få opplysninger om helse?

  • Arbeidsgiveren har rett til å kreve en del opplysninger om arbeidssøkerens helse. Dette gjelder for eksempel opplysninger som er nødvendige for å tilrettelegge arbeidsplassen på grunn av helseforhold. Det kan være opplysninger om ryggplager som gir behov for spesialstol, allergi som forhindrer arbeid med en viss type produkter eller lignende opplysninger. Videre kan arbeidsgiveren kreve at årsaken til sykefravær som skjer i arbeidstiden, og som gir rett til sykepenger i egenmeldingsperioden, blir opplyst. Arbeidstakeren må selvsagt levere en eventuell sykemelding fra legen til arbeidsgiveren dersom sykepenger skal utbetales. Arbeidsgiveren må også få informasjon om eventuelle yrkesskader eller yrkesulykker som er oppstått på arbeidsplassen.

    En arbeidsgiver kan som hovedregel ikke forlange å få se utfyllende legeerklæringer hvor en diagnose beskrives, eller å få tilgang til den ansattes legejournal. Dette henger sammen med at arbeidsgiveren ikke har rett til å behandle flere helseopplysninger om arbeidstakeren enn det som er nødvendig.

    Noen virksomheter har inngått avtale om inkluderende arbeidsliv (IA-avtale). Dette medfører at de ansatte får en mer fleksibel ordning med hensyn til bruk av egenmelding ved sykdom, samtidig som arbeidsgiveren forplikter seg til tettere oppfølging av den syke med henblikk på å få ned sykefraværet. Dette innebærer for eksempel at arbeidsgiveren skal ringe hjem til den syke etter et gitt antall dager for å sjekke om det er noe som kan gjøres for at vedkommende skal kunne komme tidligere tilbake på jobb. Behandlingen av helseopplysninger vil her til dels ha hjemmel i lov (folketrygdloven og arbeidsmiljøloven) og til dels kreve samtykke fra den ansatte. Arbeidsgiveren kan ikke kreve å få vite detaljerte diagnoseopplysninger mot den ansattes vilje.

    Noen arbeidsgivere har hjemmel til å kreve helseattest eller helseundersøkelse. Les om dette i eget spørsmål under.

• Kan arbeidsgiveren kreve helseattest eller helsekontroll av arbeidstaker?

  • Arbeidsgiver kan kun kreve helseattest og helsekontroll i de situasjoner som fremgår av arbeidsmiljøloven §§ 9-3 og 9-4.

    På noen arbeidsplasser stilles det ekstra strenge krav til arbeidernes helse. I de fleste tilfeller vil arbeidsgiveren da ha en lovfestet rett til å be om at det fremvises helseattest, eller at de ansatte tar en helsesjekk. Dette gjelder for eksempel for jobber innen sjø- og luftfart. Hvis man er i tvil om arbeidsgiveren har rett til å forlange helseattest/- undersøkelse, kan man be arbeidsgiveren om å oppgi hjemmel for slik innhenting av opplysninger. Arbeidsgiver har ikke anledning til å be om samtykke til helsetester i andre tilfeller enn det som følger av arbeidsmiljøloven.

    Arbeidsgiver har ikke rett til å gjennomføre helsekontroll ved hjelp av tvang. Dersom man nekter å la seg teste i de tilfeller der loven åpner for det, kan det likevel få negativ betydning for arbeidsforholdet og i ytterste konsekvens medføre oppsigelse eller avskjed.

• Hvordan skal arbeidsgiveren håndtere helseopplysninger?

  • Arbeidsgiveren kan ikke gi helseopplysninger videre til andre, med mindre det følger av lov eller dersom den ansatte har samtykket til det. Dette gjelder både internt og ved utlevering til utenforstående. Arbeidsgiveren er likevel forpliktet til å gi en del opplysninger videre til forskjellige offentlige organer, slik som trygdevesenet og Arbeidstilsynet.

    Helseopplysninger bør primært bare behandles av kvalifisert personale underlagt taushetsplikt, slik som personer innen bedriftshelsetjenesten. Dette gjelder imidlertid ikke for opplysninger om sykemelding og lignende, som må kunne behandles av nærmeste leder eller eventuelt personalavdelingen.

• Kan bedriftshelsetjenesten utlevere opplysninger om ansatte til arbeidsgiveren?

  • Bedriftslegen har bare anledning til å gi helseopplysninger til arbeidsgiveren dersom den ansatte har samtykket skriftlig. Legen skal dessuten forvisse seg om at utleveringen er i den ansatte sin interesse.

• Kan arbeidsgiveren kreve at den ansatte aksepterer rusmiddeltesting?

  • Mange blir bedt om å samtykke til promillekontroller eller rusmiddeltester som rutinetiltak. Dette blir gjort enten ved underskrift av arbeidskontrakt eller i løpet av arbeidsforholdet. Arbeidsgiver kan imidlertid ikke kreve ruskontroll andre tilfeller enn det som følger av arbeidsmiljøloven § 9-4. Og det er heller ikke lov til å be om den ansattes samtykke til andre kontroller.

    Arbeidsmiljøloven åpner for rustesting når

    1. det følger av lov eller forskrift
    2. ved stillinger som innebærer særlig risiko
    3. når arbeidsgiver finner det nødvendig for å verne liv eller helse.

    Reglene er tolket slik at det ikke kan kreves testing av samtlige ansatte, uavhengig av hvilken stilling den enkelte har.
    Les Personvernnemndas vedtak 2005-06

    Selv om arbeidsgiver oppfyller et av vilkårene i arbeidsmiljøloven § 9-4 medfører ikke dette noen hjemmel til tvangsgjennomføring av rustest. Dersom man nekter å la seg teste i de tilfeller loven åpner for det, kan det imidlertid få betydning for arbeidsforholdet og i ytterste konsekvens medføre oppsigelse eller avskjed.

• Kan arbeidsgiver kreve rusmiddeltest eller opplysninger om ansatte i AKAN-program?

  • Dersom de ansatte deltar i et AKAN-program eller på annen måte har inngått en avtale med arbeidsgiveren om testing på bakgrunn av et erkjent rusmiddelproblem, vil avtalen som er inngått sette grenser for hvilke opplysninger den ansatte må gi fra seg, samt hvilke tester som kan gjennomføres.

    Arbeidsgiveren kan likevel ikke tvinge arbeidstakere til å gi fra seg blodprøve eller urinprøve mot deres vilje dersom det ikke foreligger grunnlag for tvangsgjennomføring av testen. Resultatet av at man nekter kan imidlertid bli at man mister jobben.

• Hvordan skal arbeidsgiveren håndtere opplysninger om rusforhold?

  • Opplysninger om rusmisbruk og andre helseforhold kan bare lagres dersom det finnes behandlingsgrunnlag i personopplysningsloven §§ 8 og 9 er oppfylt samt at grunnkravene i § 11 er oppfylt. Dette medfører blant annet at opplysningene må være korrekte og oppdaterte, kun kan benyttes til formål som er saklig begrunnet i virksomheten og ikke må lagres lenger enn det som er nødvendig for å oppnå formålet.

    Virksomheten skal ha skriftlige rutiner for hvordan slike opplysninger skal behandles. Rutinene skal være tilgjengelig for alle ansatte jf. personopplysningslovens §§ 13 og 14.

    Opplysninger om rusforhold er meget sensitive, og bør ikke under noen omstendighet være tilgjengelige for andre enn bedriftshelsetjenesten, AKAN og eventuelt andre instanser som er underlagt lovbestemte kompetansekrav og taushetsplikt.

• Kan arbeidsgiveren kreve å få arbeidstakernes fødselsnummer?

  • Ja, en arbeidsgiver har et saklig behov for å ha fødselsnumrene til de ansatte i visse tilfeller, slik som når virksomheten skal utbetale lønn på grunn av rapporteringsplikten til likningsmyndighetene. Det er også nødvendig med fødselsnummer for at arbeidstakerne skal få eventuelle sykepenger fra trygdevesenet, og for at skattettrekk blir registrert riktig så det kommer med på selvangivelsen. Arbeidsgiveren kan derfor uten samtykke kreve å få arbeidstakerens fødselsnummer og lagre dette.

    Fødselsnummer skal bare brukes når det er saklig behov for identifisering og fødselsnummeret er nødvendig for slik identifisering. Fødselsnummeret alene kan ikke brukes som legitimasjon for at en person virkelig er den han gir seg ut for, men det kan benyttes som en identifikasjon.

    Arbeidsgiveren kan ikke kreve at de ansatte skal bruke fødselsnummeret sitt for eksempel som pålogging til datasystemet eller som kode i adgangskontrollen. Her er det tilstrekkelig at det opprettes et annet brukernavn eller et passord som er entydig for brukerne.

    Arbeidsgiveren kan heller ikke gi fødselsnummer videre til andre med mindre dette er fastsatt i lov eller arbeidstakeren har samtykket til det.

• Hvordan er reglene for fødselsnummer på lønnsslippen?

  • Skattedirektoratet krever at lønnsslipper må inneholde fødselsnummer for å være i samsvar med deres regelverk. Alle arbeidsgivere må derfor inkludere fødselsnummer på lønnsslippene for å tilfredsstille kravene i skattelovgivningen.

    Dersom dette skal formidles til arbeidstakerene på e-post, må det sendes kryptert for å oppfylle kravene i personopplysingsloven.
    Les mer om kryptering av lønnsslipper

• Hvor lenge kan personopplysningene lagres hos arbeidsgiveren?

  • Arbeidsgiveren kan bare lagre opplysninger om en arbeidstaker så lenge det er nødvendig for å gjennomføre formålet med behandlingen. Dersom opplysningene ikke lenger er nødvendige skal de slettes. Selv om en arbeidstaker slutter i sin stilling, kan fortsatt oppbevaring av enkelte personopplysninger være pålagt for eksempel etter regnskapsloven. I tillegg har de fleste arbeidsgivere behov for å oppbevare informasjon om hvem som var ansatt i hvilke tidsrom. Dette kan være av historiske eller administrative årsaker. Slik oppbevaring kan også finne sted uten den ansattes samtykke.

    Les mer om personalmapper

    Datatilsynet har ikke utarbeidet entydige retningslinjer for hvor lenge CV, søknader om permisjon, klager, oversikt over kursdeltagelser, tilrettelegging av arbeidsplass, notater fra medarbeidersamtaler eller lignende dokumentasjon kan lagres. Grunnen er at ulike virksomheter kan ha ulike behov. Virksomheten må selv utarbeide rutiner og retningslinjer for dette. Som hovedregel kan det være greit å gjennomføre en normal foreldelsesfrist på 3 år, mens for eksempel klager på den ansatte bør slettes så snart problemet klagen gjaldt er rettet opp og det ikke lenger er aktuelt å la klagen få betydning for arbeidsforholdet. Se også spørsmål om lagring av advarsler og lignende.

    Dersom en personalsak bringes inn for retten vil dette medføre at en del opplysninger kan lagres til tvisten er endelig avgjort eller eventuelle foreldelsesfrister er løpt ut.

    En del arbeidsgivere oppbevarer kontaktopplysninger om tidligere ansatte til bruk ved invitasjon til julebord, jubileer, pensjonisttreff og lignende. Hvis man ikke er interessert i å delta på denne typen aktiviteter, har ikke arbeidsgiveren noe saklig behov for lagring til dette formålet, og må sørge for at man slettes fra adresselisten.

• Kan advarsler eller lignende lagres i personalmappen?

  • Det er viktig at arbeidsgiver har et bevisst forhold til hva som skal lagres i personalmappen til den ansatte. Opplysningene som lagres skal være saklige og relevante og skal kun brukes til uttrykkelige angitte formål. Noen dokumenter kan være nødvendige å oppbevare i hele ansettelsestiden.

    Advarsler vil som regel bli lagret i personalmappen. Arbeidsgiveren må vurdere konkret hvor lenge det er behov for å lagre advarselen. Utgangspunktet for vurderingen er at personopplysninger ikke skal lagres lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen.

    Les mer om personalmapper og hva som kan lagres der

• Har arbeidstaker innsynsrett i personalregisteret / personalmappa?

  • Ja, arbeidstaker har som hovedregel rett til innsyn i personopplysningene arbeidsgiveren har lagret om ham med noen få unntak. Retten til innsyn etter personopplysningsloven § 18, 2. ledd gjelder uavhengig av om disse lagres i personalmappen eller andre steder. Enkelte unntak er regulert i personopplysningsloven § 23, men terskelen for å gjøre unntak er høy.

    Les mer og finn brevmal som kan benyttes ved krav om innsyn

    De samme reglene om rett til innsyn i opplysninger om en arbeidssøker hos arbeidsgiveren gjelder for rekrutteringsbyråene.

• Kan arbeidstaker kreve retting eller sletting av opplysninger som er lagret om ham/henne?

  • Arbeidsgiveren er pålagt å behandle en del opplysninger både om søkere, ansatte og tidligere ansatte med hjemmel i for eksempel arbeidsmiljøloven, regnskapsloven og likningsloven. Det kan likevel ligge opplysninger i personalmappen som arbeidstakeren mener ikke burde ligge der, for eksempel uriktige eller unødvendige opplysninger. Arbeidstakeren har i så fall rett til å få vite hvorfor opplysningene er lagret.

    Les mer om personalmapper

    Dersom arbeidstaker mener at arbeidsgiveren behandler uriktige, ufullstendige eller unødvendige opplysninger om ham, kan det fremsettes krav om retting eller sletting. Dersom arbeidsgiveren nekter, må det gis en saklig begrunnelse for dette. Mener man at arbeidsgiveren ikke har rett til å nekte retting eller sletting, kan man henvende seg til Datatilsynet for hjelp.

    Retting og sletting av personopplysninger er regulert i personopplysningsloven §§ 27 og 28.

    Les mer om retting og sletting

• Hvem kan få tilgang til opplysninger arbeidsgiveren har lagret om en arbeidstaker?

  • Arbeidsgiverens personalopplysninger skal behandles konfidensielt. Bare personer med tjenstlig behov for opplysningene skal ha tilgang. Arbeidsgiveren må derfor legge opp til et system som gjør at informasjon fra personalregisteret ikke er tilgjengelig for uvedkommende. Personalkontoret skal for eksempel ikke la en datamaskin stå fremme slik at alle kan se personalopplysninger på skjermen. Det samme kravet til konfidensialitet gjelder tilgang til utskrifter med slik personinformasjon. Arkivskap hvor personalmappene oppbevares skal derfor ikke stå ulåst eller tilgjengelig for uvedkommende.

    Arbeidsgiveren har rett til å gi de tillitsvalgte opplysninger om en ansatt sin stilling og lønn i tilknytning til lønnsforhandlinger. Hvis det er mulig, skal opplysningene gis anonymt. I tillegg kan Arbeidstilsynet og de tillitsvalgte kreve å få opplyst hvor mange timer overtid en ansatt jobber. Arbeidstilsynet og de tillitsvalgte er i så fall underlagt de samme kravene til konfidensialitet som arbeidsgiver.
    Les mer om lønnsopplysninger til tillitsvalgte

    Arbeidsgiveren er også forpliktet til å gi en del opplysninger om arbeidstakerne videre til trygdeetaten, ligningsvesenet og Arbeidstilsynet. Arbeidsgiveren kan derimot ikke gi opplysninger om ansatte videre til privatpersoner eller forsikringsselskap uten samtykke.

    Utlevering av opplysninger om tidligere ansatte til deres nye arbeidsgivere, krever også samtykke. Uttalelser som er den tidligere arbeidsgiverens personlige meninger kan likevel ikke defineres som utlevering av personopplysninger, og krever ikke samtykke. Den nye arbeidsgiveren bør imidlertid ikke lagre denne typen informasjon uten å informere den ansatte slik at denne kan gi sine kommentarer til uttalelsene.

• Kan arbeidsgiver lese ansattes private e-poster og filer?

  • Arbeidsgiveren vil som hovedregel ikke ha rett til å gjøre innsyn i arbeidstakerens e-postkasse eller arbeidstakers personlige område i virksomhetens datanettverk. Det finnes likevel situasjoner der arbeidsgiver har rett til å gjennomsøke, åpne eller lese e-post. Dette gjelder for eksempel dersom det er nødvendig for å ivareta den daglige driften, eller ved begrunnet mistanke om at arbeidstakers bruk av e-postkassen medfører grovt brudd på pliktene som følger av arbeidsforholdet.

    Arbeidstakeren skal så langt som mulig varsles, og få anledning til å uttale seg, før arbeidsgiver gjennomfører innsyn. Arbeidsgiveren må begrunne hvorfor vilkårene for innsyn er oppfylt, og orientere om arbeidstakers rettigheter, blant annet at arbeidstakeren som hovedregel skal gis anledning til å være til stede når innsynet gjennomføres.

    Innsyn i e-post er regulert i personopplysningsforskriften kapittel 9.

    Les mer om innsyn i e-post

• Kan arbeidsgiveren overvåke det arbeidstakeren gjør på Internett?

  • De fleste datasystemer har automatiske loggfunksjoner. Virksomheten er forpliktet etter personopplysningsforskriften til å logge alle bevegelser i datasystemet som har betydning for informasjonssikkerheten. Loggingen er dessuten nødvendig for at systemet skal fungere. Dette innebærer særlig en plikt til å logge autorisert bruk og forsøk på uautorisert bruk av systemet. Logging er i utgangspunktet en behandling av personopplysninger som er meldepliktig etter personopplysingsloven. Loggingen er likevel fritatt fra meldeplikten dersom opplysingene bare skal brukes til administrasjon av datasystemet eller oppdagelse og oppklaring av brudd på sikkerheten.

    Det skal altså registreres hvem som har forsøkt å logge seg på selve systemet eller ulike program, og om dette ble godkjent eller ikke. Det vanligste er at det skjer en logging av hvem som til enhver tid er inne på forskjellige programmer og filer. Ansattes aktiviteter på Internett eller bruk av skriver logges også automatisk.

    Virksomhetens sikkerhetsmål, strategi og risikovurdering skal angi hva som er akseptabel bruk av datasystemet. Her kan man for eksempel komme til at nedlasting av musikkfiler eller store bildefiler ikke kan aksepteres ut fra systemets sikkerhetsnivå og dermed må forbys. En slik vurdering kan også føre til at virksomheten på bakgrunn av sikkerhetsnivået til datasystemet ikke tillater at de ansatte bruker systemet til private formål. Arbeidsgiveren kan som et utgangspunkt også nekte ansatte å bruke systemet til private formål med grunnlag i styringsretten. Datatilsynet forutsetter at virksomheten har retningslinjer for bruk av datasystemet. De ansatte må kjenne til disse retningslinjene og konsekvensene av å bryte dem. Hva slags følger eventuelle brudd på sikkerheten får for de ansatte, er det ikke opp til Datatilsynet å vurdere. Annen lovgivning, for eksempel arbeidsmiljøloven, setter grenser for dette.

    Virksomheten må som hovedregel ha et frivillig, uttrykkelig og informert samtykke fra de ansatte dersom loggene skal brukes til andre formål enn administrasjon og informasjonssikkerhet.

    Arbeidsgiveren kan også benytte loggene til overordnet systemovervåking eller generell kontroll av datasystemet. Denne kontrollen kan imidlertid bare skje på gruppenivå for hele eller deler av virksomheten. Noen ganger vil arbeidsgiveren da kunne se av loggene at de ansatte misbruker datasystemet for eksempel ved at det lastes ned filer og programmer i strid med interne retningslinjer og instrukser, eller at det generelt benyttes for mye tid på Internett. Det finnes da forskjellige tekniske løsninger arbeidsgiveren kan velge som ikke innebærer behandling av personopplysninger. Dette kan for eksempel være innføring av sperre mot visse typer nedlastning, filer eller nettsteder. Disse metodene bør alltid foretrekkes.

    Arbeidsgiveren bør gi beskjed om at det vil bli kontrollert hvem som står for den ureglementerte aktiviteten dersom den ikke opphører innen en gitt frist. Dersom aktiviteten ikke er opphørt når fristen er utløpt, vil arbeidsgiveren uten samtykke fra de ansatte kunne benytte loggene til å finne frem til den som står bak. Det er i så fall en forutsetning at arbeidstakerne har fått utfyllende informasjon i forkant. Den ansattes personvern vil da veie mindre enn arbeidsgiverens berettigede interesse i kontrollen. De opplysningene som kommer frem kan antagelig bli benyttet mot den ansatte for eksempel i en arbeidsrettssak. Dette følger imidlertid andre regler enn personopplysningsloven.

    Dersom loggene indikerer straffbare forhold, for eksempel surfing på barnepornografi, skal politiet alltid kontaktes.

    Arbeidsgiveren kan ikke uten videre kartlegge hvor mye tid hver enkelt bruker på Internett, eller hvilke internettsider som blir besøkt. Loggene kan for eksempel ikke benyttes til overvåking av de ansatte til bruk ved oppsigelser uten særskilt behandlingsgrunnlag. Bruk av loggopplysningene til denne typen formål skal meldes til Datatilsynet. Overvåking innebærer en større trussel mot de ansattes personvern enn sikring av systemet og datadrift, og da stiller loven strengere krav. Man må vente en tilsvarende streng vurdering fra Datatilsynets side.

    Regler om kontrolltiltak finnes i arbeidsmiljøloven kapittel 9.

• Kan arbeidsgiver publisere opplysninger om meg på Internett?

  • Arbeidsgiveren kan publisere visse opplysninger om sine ansatte på virksomhetens nettsider uten samtykke. Opplysningene som publiseres må være knyttet til arbeidsforholdet, slik som for eksempel navn, ansvarsområde, internt telefonnummer og e-postadresse.

    Dersom arbeidsgiveren ønsker å publisere privatadresser eller andre mer detaljerte opplysninger om arbeidstakeren, slik som alder, sivilstand eller CV, krever det arbeidstakers samtykke.

    Les også om plikter ved publisering av bilder av ansatte på arbeidsgivers Inter- eller intranettsider.

• Hva kan registreres om arbeidstakers prestasjoner?

  • Arbeidsgiveren har rett og plikt til å følge opp sine ansatte, for eksempel for å gi grundig opplæring, gi tilbakemelding på måten den ansatte utfører jobben på eller lignende. Det følger blant annet av arbeidsmiljøloven og ulovfestede regler om arbeidsgiverens styringsrett. Oppfølgingen kan skje ved hjelp av elektroniske hjelpemidler, slik som telefonsystemet eller datasystemet. Det kan imidlertid være en uklar grense mellom lovlig oppfølging og ulovlig overvåking av de ansatte.

    Ansatte som jobber på akkord må finne seg i at arbeidsgiveren teller hvor mye som produseres innenfor akkorden. Dette innebærer likevel ikke at de ansatte også må finne seg i at arbeidsgiveren for eksempel teller hvor mange besøk til toalettet de tar i løpet av arbeidsdagen, eller hvor lenge hvert opphold varer.

    Hvis man har mistanke om at arbeidsgiveren overvåker på en ulovlig måte, bør spørsmålet tas opp med tillitsvalgte eller Datatilsynet.

• Kan arbeidsgiver ta opp ansattes telefonsamtaler?

  • Det er ikke straffbart å ta opp telefonsamtaler man selv deltar i. Det settes likhetstegn mellom arbeidsgiver og den ansatte i denne sammenhengen. Det anses dermed normalt ikke som straffbart at arbeidsgiver foretar opptak av en samtale mellom seg selv, ansatte og eventuell tredjeperson. Det er imidlertid en forutsetning etter personopplysningsloven at deltakerne i samtalen blir informert om opptaket dersom opptaket skjer digitalt, eller dersom arbeidsgiveren ellers behandler opptakene slik at enkeltpersoner kan finnes igjen.

    Verdipapirforetak har en lovpålagt plikt til å ta opp og lagre telefonsamtaler de ansatte foretar. Dette er for å kunne dokumentere mottatte og utførte oppdrag etter verdipapirhandelloven. Bruk av opptakene til andre formål, slik som kontroll av den ansatte, krever i utgangspunktet den ansattes samtykke.
    Les mer om lydopptak i verdipapirforetak

    I mange virksomheter ønsker arbeidsgiveren å ta opp eller lytte til de ansattes telefonsamtaler i opplæringsøyemed. Dette gjelder for eksempel innen kundesenterbransjen. Både den ansatte og samtaleparten skal alltid ha informasjon om at opptak eller avlytning til dette formålet foregår. Det vil avhenge av den konkrete situasjonen om opptaket krever samtykke fra den ansatte.

    Dersom man har mistanke om at arbeidsgiveren ulovlig overvåker telefonen, bør den tillitsvalgte og eventuelt Datatilsynet kontaktes.
    Les mer om opptak av telefonsamtaler

• Når er det lov å overvåke arbeidsplassen med kamera?

  • For å ha kameraovervåking på arbeidsplassen må overvåkingen være saklig og nødvendig. Det skal ikke overvåkes i større omfang enn det som er nødvendig ut fra formålet. I tillegg kommer reglene om kontrolltiltak i arbeidsmiljøloven kapittel 9 til anvendelse. Tiltaket skal drøftes med tillitsvalgte og de ansatte skal gis informasjon om behandlingen. Kameraovervåking kan oppleves som belastende for de ansatte. Arbeidsgiver må derfor ha et særskilt behov for å overvåke en arbeidsplass med kamera.

    En arbeidsgiver kan ikke overvåke toaletter, garderober eller pauserom. Dersom denne typen lokaler overvåkes med kamera, bør Datatilsynet kontaktes.
    Les om bruk av kamera på arbeidsplassen
    
    Les om kameraovervåking

• Kan arbeidsgiver registere hvor arbeidstakeren er til enhver tid?

  • Tilgangskontroll (adgangskontroll): Formålet med å ta i bruk et tilgangskontrollsystem er å ivareta interne sikkerhetsforhold. Opplysningene skal derfor ikke brukes til andre formål uten samtykke fra den ansatte. Hvis arbeidsgiveren ønsker å benytte opplysningene til effektivitetsmålinger eller andre personaladministrative tiltak, må det innhentes samtykke fra de ansatte.

    Mange virksomheter benytter samme system for adgangskontroll og tidsregistrering. Dersom arbeidsgiveren har en teknisk løsning som gjør at opplysningene holdes fra hverandre, er dette greit. Opplysningene må ikke kobles sammen uten at det foreligger behandlingsgrunnlag i personopplysningsloven § 8, og de ansatte skal alltid ha informasjon om hvordan opplysningene brukes.

    Les mer om tilgangskontroll (adgangskontroll) i arbeidslivet

    Bruk av lokasjonsdata: Ikke alle arbeider fra et fast kontor. I disse tilfellene kan arbeidsgiveren ha et ønske eller behov for å vite hvor den enkelte ansatte befinner seg til enhver tid. Dette gjelder for eksempel i budbilbransjen, hvor arbeidsgiveren trenger å vite hvilken budbil som til enhver tid befinner seg nærmest et nytt oppdrag. Mange arbeidsgivere ønsker å benytte seg av lokasjonsdata hentet fra for eksempel en gsm-enhet installert i bilen, eller fra den ansattes mobiltelefon til flåtestyring. I mange tilfeller vil det ligge innenfor arbeidsgiverens styringsrett å bestemme at slike løsninger skal benyttes. Dette forutsetter at de ansatte får god informasjon i forkant av tiltaket, og at opplysningene ikke benyttes til uforenlige formål uten den ansattes samtykke. Videre vil reglene om kontrolltiltak i arbeidsmiljøloven kapittel 9 kunne komme inn. Det er også en forutsetning at man velger løsninger som tilfredsstiller den ansattes behov for å kunne bevege seg privat i de tilfellene hvor man har rett til å gjøre visse private ærend i arbeidstiden. Dette kan for eksempel bety mulighet til å slå av senderen ved legebesøk eller lignende.

    Les mer om GPS og sporing i yrkesbiler

• Kan arbeidsgiver kontrollere når arbeidstaker kommer og går fra jobb?

  • Arbeidsgiveren kan kreve at de ansatte registrerer seg automatisk når de kommer på jobb om morgenen og når de går om ettermiddagen. Det kan også kreves at de registrerer seg ut på forskjellige koder dersom de forlater arbeidsplassen i avtalt arbeidstid, for eksempel for å gå til eksterne møter, tannlegen eller lignende. Dette følger av arbeidsgiverens styringsrett og arbeidsavtalen der de ansatte stiller sin tid til arbeidsgiverens disposisjon mot betaling.

    I enkelte tilfeller er det vanskeligere for arbeidsgiveren å vite om den ansatte faktisk arbeider i den tiden som er avtalt. Dette kan typisk være i tilfeller der arbeidstakerne ikke har fast kontor, for eksempel budbilsjåfører. Arbeidsgiveren vil da ofte ønske å innføre ordninger som kontrollerer dette. Det kan blant annet skje ved installering av en gsm-enhet i firmabilen, eller ved innføring av rutiner som innebærer innmelding av arbeidstid via SMS. Arbeidsgiveren kan ha en saklig begrunnelse for å føre en viss kontroll med at de ansatte jobber i avtalt tid. Registreringens detaljnivå kan likevel ikke gå lenger enn den tilsvarende registreringen som ansatte med fast kontroplass underlegges.
    
    Det er viktig at kontrollen gjennomføres på en måte som griper minst mulig inn i den ansattes personvern. Videre må reglene i arbeidsmiljøloven kapittel 9 om kontrolltiltak følges.

    Det er en forutsetning for all tidsregistrering at den ansatte gis god informasjon om registreringen og formålet med denne, og at opplysningene ikke benyttes til formål som er uforenlig med tidsregistreringen uten den ansattes samtykke.

    Mange virksomheter benytter samme system for tidsregistrering og adgangskontroll. Dersom arbeidsgiveren har en teknisk løsning som gjør at opplysningene holdes fra hverandre, er dette greit. Da tidsregistrering og adgangskontroll anses å være uforenlige formål, må imidlertid ikke opplysningene kobles sammen uten samtykke fra de ansatte eller annet behandlingsgrunnlag i personopplysningen § 8. De ansatte skal alltid ha informasjon om hvordan opplysningene brukes. Se mer om adgangskontroll i eget punkt over.

    Dersom man er i tvil om den løsningen arbeidsgiveren ønsker å benytte er lovlig, bør den tillitsvalgte eller eventuelt Datatilsynet kontaktes.

• Kan arbeidsgiver kreve å få den ansattes spesifiserte telefonregning?

  • Hvis arbeidsgiveren betaler telefonregningen må han også få de nødvendige regnskapsbilag slik at regningen kan utgiftsføres i tråd med regnskapsloven. Mange arbeidstakere har avtale om at arbeidsgiveren betaler for telefon som brukes både i jobben og privat. Dette reiser en del personvernrelaterte problemer.

    Den beste måten å sikre personverninteressen på er at den ansatte selv står oppført som abonnent, og har vanlig uspesifisert regning. For at arbeidstakerne skal få dekket telefonregningen helt eller delvis, må arbeidsgiveren få regningen som utgiftsbilag. Dette gjelder også når den ansatte selv betaler regningen, og får beløpet refundert i etterkant. En avtale om at arbeidsgiveren dekker et fast beløp som antas å dekke jobbdelen av telefonregningen kan sikre arbeidstakeren mot at arbeidsgiveren får innsyn i hvem arbeidstakeren har ringt eller sendt SMS til. Dersom det er nødvendig å ha en eksakt fordeling mellom jobbsamtaler og privatsamtaler må regningen være spesifisert. I slike tilfeller kan arbeidstakeren sladde private numre før regningen leveres, men da slik at det beløpet det er ringt for fortsatt fremgår av regningen.

    Dersom arbeidsgiveren står som telefonabonnent, kan arbeidsgiveren selv avgjøre om regningen skal være spesifisert eller ikke. Spesifisert regning vil gi arbeidsgiveren innsyn i private kommunikasjon. Når man velger slike ordninger, bør det foreligge en klar avtale mellom arbeidstakeren og virksomheten som sikrer at arbeidstakeren for eksempel kan gå gjennom regningen og sladde alle nummer av privat karakter.

• Kan arbeidsgiver true med negative konsekvenser dersom ikke arbeidstaker gir samtykke?

  • I utgangspunktet bør de fleste behandlinger av personopplysninger baseres på et samtykke fra den registrerte. Den enkelte er da i stand til å ha kontroll med egne opplysninger og vil vite hvilke opplysninger som behandles, til hvilke formål, av hvem mv.

    Samtykke fra en arbeidstaker til en arbeidsgiver kan være problematisk fordi arbeidstaker som regel er i en avhengighetssituasjon til arbeidsgiver, og kan kan føle seg presset til å si ja til noe fordi han frykter negative konsekvenser.

    Det skal være frivillig for arbeidstakeren å gi sitt samtykke til at opplysningene registreres. Dersom det å si nei medfører negative konsekvenser, regnes ikke samtykket som frivillighet. Det er altså ikke lov å sette arbeidstakeren i en situasjon der han føler seg presset til å gi et samtykke.

• På arbeidsplassen min benytter vi samme felles passord, er det tilrådelig?

  • Nei, dette er ikke tilrådelig og kan også være i konflikt med regelverket.

• Hva må arbeidsgiver ta hensyn til ved gjennomføring av undersøkelser blant ansatte?

  • Før arbeidsgiver kan gjennomføre en undersøkelse blant ansatte må det være klart definert hva som skal undersøkes, om det er nødvendig å samle inn personidentifiserende opplysninger og i hvilken grad det skal brukes åpne merknadsfelt. Samtidig må arbeidsgiver sørge for at ansatte har samtykket til behandlingen, er informert på forhånd.

    Les om undersøkelser blant ansatte her