Hva er omfattet av forbudet?
E-postforskriften gir arbeidstakere i Norge et særlig vern mot overvåking fra arbeidsgiveren. Her vil vi utdype hva som er omfattet av forbudet.
Det er bare i to tilfeller det vil kunne være lovlig å overvåke de ansattes bruk av elektronisk utstyr. I alle andre tilfeller vil det være ulovlig overvåking. Før vi går nærmere inn på disse to tilfellene, vil vi se på hva som er omfattet av forbudet.
E-postforskriften § 2, andre avsnitt
"Arbeidsgiver har ikke rett til å overvåke arbeidstakers bruk av elektronisk utstyr, herunder bruk av Internett, med mindre formålet med overvåkingen er
a. å administrere virksomhetens datanettverk eller
b. å avdekke eller oppklare sikkerhetsbrudd i nettverket."
(våre uthevinger)
Av lovteksten ser vi altså at:
- tiltaket må gjelde arbeidstakeres "bruk av elektronisk utstyr"
- tiltaket må være "overvåking"
- arbeidsgiveren må dessuten få tilgang til opplysningene
Når vi bruker ordet "tiltak" i denne sammenhengen, mener vi alt en arbeidsgiver gjør som kan innebære overvåking. Dermed kan overvåkingen både foregå manuelt og automatisk.
Rettskilder
Det er få rettskilder som belyser hvordan denne bestemmelsen skal forstås. Uttalelser fra lovgiveren i forbindelse med innføring og endringer av forbudet, er nyttige for å forstå hvilke tiltak og teknologier som lovgiveren har ment å forby:
- Proposisjonen til personopplysingsloven 2018 – Prop. 56 LS (2017–2018) – med forslag til den gjeldende e-postforskriften (regjeringen.no)
- Merknader til tidligere bestemmelser om overvåking i personopplysningsforskriften, 2009 (pdf, regjeringen.no)
- Høringsnotat fra reglene ble innført i 2006, "Forslag til regler om arbeidsgivers tilgang til ansattes e-post mv." (pdf, regjeringen.no)
1. Tiltaket må gjelde arbeidstakeres "bruk av elektronisk utstyr"
Forbudet er knyttet til "bruk av elektronisk utstyr, herunder bruk av internett". Dette henger sammen med e-postforskriftens virkeområde.
E-postforskriften § 1. Virkeområde
"Forskriften her gjelder arbeidsgivers rett til innsyn i opplysninger lagret i
- e-postkasse som arbeidsgiver har stilt til arbeidstakers disposisjon til bruk i arbeidet
- arbeidstakers personlige områder i virksomhetens datanettverk eller annet elektronisk utstyr som arbeidsgiver har stilt til arbeidstakers disposisjon til bruk i arbeidet.
Bestemmelsene gjelder tilsvarende for innsyn i opplysninger som er slettet fra områder som nevnt i første ledd som finnes på sikkerhetskopier eller tilsvarende."
Elektronisk utstyr omfatter stort sett alt som ansatte bruker på arbeidsplassen, så lenge det er verktøy som samler inn eller kan brukes til å utlede personopplysninger. "Elektronisk utstyr" skal forstås vidt, og bestemmelsen er ment å være teknologinøytral. Også tekniske løsninger som utvikles i fremtiden er ment å skulle omfattes av disse reglene.
Elektronisk utstyr kan for eksempel være:
- Datamaskiner
- Nettbrett
- Mobiltelefoner
- Printere
Arbeidsgiveren må ha gitt arbeidstakeren utstyret med det formålet at det skal benyttes i arbeidet for at forskriften skal gjelde. Arbeidstakere som også bruker utstyret i privat sammenheng er likevel beskyttet av forskriften.
Selv om mobiltelefon også er elektronisk utstyr, har vi vurdert lydopptak av telefonsamtaler til å falle utenfor i denne sammenhenen
Les mer om lydopptak i arbeidslivet
2. Tiltaket må være "overvåking"
Hva som ligger i "overvåke" er ikke definert i forskriften. Siden begrepet er så skjønnsmessig og ladet, er det utfordrende å gi klar veiledning. Ut fra forarbeidene, vanlig språkbruk, praksis og juridisk teori, vil vi derfor her gi en retning for hva vi som tilsynsmyndighet legger i å overvåke arbeidstakeres bruk av elektronisk utstyr.
En vanlig språklig forståelse av overvåking, innebærer at arbeidsgiveren samler inn informasjon om ansatte for å kartlegge atferd eller holdninger.
Bestemmelsen omfatter slik vi ser det både den innledende kartleggingen av bruken av elektronisk utstyr, så vel som gjennomgangen av personopplysningene. Dette betyr at også det å samle inn personopplysninger, for eksempel gjennom logging, er omfattet, selv om arbeidsgiveren ikke nødvendigvis går gjennom opplysningene.
Eksempel
Logging av aktivitet for sikkerhetsformål, er tiltak som samtidig gir arbeidsgiveren mulighet til å følge med på hva den ansatte gjør. Logging for å ivareta informasjonssikkerheten vil imidlertid ofte kunne være et lovlig tiltak, på grunn av unntaket for sikkerhetsformål.
En teoretisk mulighet for at opplysningene kan brukes til å kontrollere de ansatte er ikke tilstrekkelig for å kalle det overvåking. Tiltaket må være over en viss terskel.
Eksempel
En vanlig funksjon i samhandlingsverktøy er en indikator (for eksempel farge eller ikon) som viser om arbeidstakeren er pålogget, borte eller frakoblet.
I utgangspunktet er dette ikke overvåking. Dersom arbeidsgiveren aktivt går inn for å registrere den ansattes tilstedeværelse for å kontrollere vedkommende, kan det imidlertid utgjøre overvåking.
Når hovedformålet er å kontrollere arbeidstakerne
Tiltakene som har som hovedformål å kontrollere arbeidstakerne, er åpenbart lettest å kategorisere. Det kommer for eksempel mye programvare fra land med en annen personvernlovgivning enn vår – programvare som er spesialutviklet for å samle inn, analysere og tilgjengeliggjøre data om den enkelte ansatte. Slik programvare kalles også for sjefsvare ("bossware")
Les mer i Fafo-rapporten Digitalisering, personvern og tillitsvalgtes medvirkning 2023:12)
Sjefsvare kan måle arbeidstakernes følelser, tanker og meninger gjennom:
- opptak fra webkamera
- automatisk gjennomgang av meldinger i interne chattekanaler
Sjefsvare kan måle arbeidsutførelse gjennom:
- antallet tastetrykk på datamaskinen i løpet av en bestemt tidsperiode,
- hvilke applikasjoner som er benyttet
- bruk av sosiale media i arbeidstiden
De ansattes opplevelse av tiltaket
For tiltak som ikke har overvåking som hovedformål, er de ansattes opplevelse av å være overvåket et viktig moment i vurderingen av om tiltaket kan kalles overvåking.
Eksempel
En veiledningssak Datatilsynet hadde med LO og Abelia, gjaldt en virksomhet som arbeidet med kundeservice, og som gjorde skjermopptak av arbeidstakernes pc. Formålene med skjermopptakene var kompetanseheving og opplæring. Opptak ble bare gjort i 2,5 prosent av tiden, men de ansatte ble varslet om mulig opptak i 25 prosent av tiden.
I veiledningen la vi vekt på at det ikke var mulig for de ansatte å vite hvilke tidspunkt opptakene faktisk skjedde i. Vi la dessuten vekt på at den varslede tiden på 25 prosent utgjorde en betydelig del av arbeidsdagen. Siden tiltaket var utformet på en måte som kunne gi de ansatte en følelse av å være overvåket, mente vi at tiltaket ikke var i samsvar med e-postforskriften.
Tiltaket må ha en viss varighet
For at tiltaket skal defineres som overvåking, må det dessuten ha en viss varighet eller det må skje gjentatte ganger. Enkeltstående innsyn i e-post, vil derfor ikke defineres som overvåking, mens hyppige enkeltstående innsyn kan tenkes å kunne defineres som overvåking.
Eksempel
Automatisk videresending av e-post regnes som overvåking av elektronisk utstyr, fordi det er kontinuerlig. Formålet med videresendingen er ofte å ivareta kundeforhold når arbeidstakere er fraværende.
Det er viktig for arbeidsgivere å være klar over at kundeforhold ikke er ett av unntakene som gjør automatisk videresending lovlig. Kundeforhold kan derimot forsvare enkeltstående innsyn-
Les mer om dette i artikkelen om arbeidsgiverens innsyn i epost og filer.
3. Arbeidsgiveren må ha tilgang til personopplysningene
Den tredje delen av forbudet går ut på at arbeidsgiveren må ha tilgang til personopplysningene som behandles gjennom tiltaket.
Eksempel
I sandkasseprosjektet Secure Practice vurderte vi hvordan et verktøy som skulle profilere ansatte med formål å gi tilpasset opplæring i informasjonssikkerhet, kunne utformes.
Anbefalingen fra sandkassa var å hindre at arbeidsgiveren fikk tilgang til opplysningene om hver enkelt ansatt. Så lenge både kontrakten mellom arbeidsgiveren og Secure Practice, samt tekniske tiltak hindret arbeidsgiveren i å vite hvilken interesse eller kunnskap enkeltansatte hadde om informasjonssikkerhet, var ikke tiltaket forbudt.
Med andre ord må arbeidsgiveren ha mulighet til å få tilgang til opplysninger om de ansatte, for at tiltaket skal være forbudt.