Digitale arbeidsverktøy registrerer store mengder opplysninger om arbeidstakerne som bruker dem. Det kan være vanskelig for arbeidstakeren å ha oversikt over hvilke opplysninger som blir samlet inn, hva som lagres og hvordan opplysningene blir brukt. Mulighetene i disse verktøyene til å samle inn opplysninger, kan også bevisst bli brukt av arbeidsgivere for å overvåke og kontrollere ansatte.

Om rapporten

Temaet for denne rapporten er kontroll og overvåking av ansattes digitale aktiviteter. Selv om bruken av digitale verktøy er utbredt på mange områder, har vi begrenset rapporten til å gjelde hva arbeidstakere gjør på PC og mobiltelefon. Det er fordi dette er de mest vanlige arbeidsverktøyene og fordi de kan samle inn store mengder personopplysninger.

I denne rapporten vil vi se nærmere på:

• Hvilke tiltak og systemer eksisterer for overvåking i det digitale arbeidslivet?
• Hvordan fungerer programvare som er særskilt utformet for å overvåke arbeidstakere?
• Hva er arbeidstakeres opplevelser med digital overvåking og kontroll?

Respons Analyse gjennomførte en kort undersøkelse for oss for å kartlegge arbeidstakeres erfaringer med digital overvåking og kontroll. Vi har også sett nærmere på tre ulike programvarer utformet for å overvåke digitale aktiviteter. Videre har vi intervjuet representanter fra arbeidsgiver- og arbeidstakerorganisasjoner for innspill til problemstillingene våre.

I slutten av rapporten gir vi noen praktiske råd til arbeidsgivere som vurderer å innføre tiltak som innebærer å samle inn opplysninger om arbeidstakernes digitale aktiviteter.

Noen hovedfunn

Vi har i arbeidet med denne rapporten blant annet sett at:

1. Over halvparten av arbeidstakere har mangelfull oversikt over hvilken informasjon arbeidsgiveren samler inn.
   Over halvparten (55 prosent) av arbeidstakere svarer at de har «lite», «svært lite» eller «ikke i det hele tatt» oversikt over hvilken informasjon arbeidsgivere samler inn om dem. Dette er bekymringsfulle tall. Tallet kan også indikere at digitale arbeidsverktøy registrerer såpass store mengder opplysninger at det kan være utfordrende for arbeidstakerne å holde oversikt.
2. Arbeidsgiveren har mulighet til å samle inn store mengder opplysninger om arbeidstakeres digitale aktiviteter.
   Tiltak som for eksempel innsyn i e-post og historikk i nettleseren, kan avsløre sensitive detaljer om arbeidstakernes privatliv, men er ikke nødvendigvis lovlige. I tillegg har populære tjenester fra teknologiselskaper som Google, Microsoft og Zoom innebygde tilleggsfunksjoner som gir arbeidsgiveren mulighet til å overvåke arbeidstakerens aktiviteter.
3. Programvare designet for å overvåke ansatte kan være svært inngripende.
   Alle programvarene vi testet har til felles at de gir arbeidsgiveren et enkelt og detaljert innsyn i de ansattes arbeidshverdag og tidsbruk. Mange av funksjonalitetene er i tillegg svært inngripende og utgjør tydelige utfordringer for arbeidstakernes personvern.
4. Flere arbeidstakere ser tegn til at arbeidsgiveren overvåker besøk på nettsider.
   Syv prosent av arbeidstakerne svarer at de har indikasjoner på at arbeidsgiveren har overvåket eller overvåker hvilke nettsider de besøker. Dette er en problematisk aktivitet, og kan være et overtramp av arbeidstakerens rett til personvern. Tre prosent har også sett tegn på at arbeidsgiveren har gjort inngripende tiltak, slik som innsyn i e-post eller PC-/skjermbruk (loggføring av tastaturbruk og/eller skjermopptak).

I tillegg ser vi at det er utfordringer knyttet til kontrolltiltak på hjemmekontor. Det er rimelig å anta at den økte bruken av hjemmekontor / fjernkontor vil føre til at arbeidsgivere i større grad vil bruke digitale verktøy for å følge opp og koordinere arbeidstakere som jobber andre steder enn på arbeidsplassen. Dette skaper nye utfordringer for personvernet da arbeidstakernes hjem eller lignende også vil bli berørt. For eksempel vil et webkamera kunne fange opp en privat sfære der arbeidstakeren har en beskyttelsesverdig interesse av å være i fred.

Når virksomheter administrerer verktøyene som de ansatte bruker i arbeidshverdagen, oppstår det en mulighet for å bruke verktøyene til kontroll og overvåking. På en arbeidsplass vil det derfor ofte være to potensielt motstridende interesser: arbeidsgiverens ønske om og behov for kontrolltiltak, og arbeidstakerens arbeidsmiljø og personverninteresser.

Virksomheter innfører ofte kontrolltiltak av driftsmessige årsaker. Det kan for eksempel være for å registrere arbeidstid eller av informasjonssikkerhetshensyn. Likevel, uavhengig av hensikten, slike tiltak innebærer at opplysninger om arbeidstaker samles inn. Spesielt registrering av aktiviteter på PC-en eller mobiltelefonen kan være omfattende og inngripende. Dette er fordi verktøyene har blitt «alt-mulig-verktøy» hvor arbeidstakerne utfører arbeidsoppgavene sine, men også har kontakt med venner og familie og gjør andre private aktiviteter.

Tiltak for å registrere de ansattes digitale aktiviteter på PC eller mobiltelefon

Datatilsynet erfarer at mange arbeidstakere opplever at det er utfordrende å ha oversikt over hvilke tiltak og metoder som kan brukes for å registrere de digitale aktivitetene deres. Her vil vi liste opp noen av tiltakene en arbeidsgiver kan bruke for å hente inn opplysninger om de ansattes aktiviteter på PC og mobiltelefon. Enkelte av tiltakene vil gi innsikt i opplysninger som verktøyene automatisk registrerer om de ansatte, mens andre tiltak krever at arbeidsgiveren gjør aktive valg for å samle inn ytterligere opplysninger. Listen er ikke uttømmende, og den beskriver bare hva som er teknisk mulig – ikke hva som er lov.

• Innsyn i e-post: Innsyn i e-post er strengt regulert i lov og Datatilsynet har laget utfyllende veiledning om innsyn i e-post og annet elektronisk lagret materiale. Det er likevel teknisk mulig for arbeidsgiveren å logge seg inn på en arbeidstakers e-post for å se på aktiviteten. Vi ser også at automatisk videresending av e-post ofte benyttes, slik at arbeidsgiveren fortløpende får arbeidstakerens e-post til en postkasse arbeidsgiveren selv har tilgang til.
• Lydopptak: Lydopptak er mest relevant innen salg og kundeservice. Imidlertid er lydopptak et inngripende tiltak som er underlagt strenge begrensninger etter personvernregelverket og arbeidsmiljøloven. Lydopptak av samtaler samler inn mye overskuddsinformasjon, blant annet om en persons stemme og sinnsstemning.
• GPS-sporing: Flere selskaper tilbyr programvare for GPS-sporing av arbeidstakerens mobiltelefoner, noen ganger i kombinasjon med programvare som er installert på PC-en. Slike verktøy lar arbeidsgiveren se de ansattes lokasjon, tidligere ruter arbeidstakerne har beveget seg i, tidsstempler som viser hvor de var på et gitt tidspunkt, samt hvor lenge de oppholdt seg der.
• Installere Mobile Device Management (MDM): Dette er programvare som installeres på arbeidstakernes jobbtelefon, og som gir arbeidsgiveren tilgang til telefonen. Bruk av MDM kan innebære at virksomheten i praksis får fullstendig kontroll over innholdet på mobiltelefonen.
• Kontrollere tilstedeværelse: I mange samhandlingssystemer er det funksjoner som viser om en ansatt er pålogget eller ikke. For eksempel kan dette være en del av chatteprogram, der arbeidstakerne markeres med et ikon (slik som et grønt lys) hvis de er pålogget.
• Kontrollere aktivitet på programmer og filer: Det er mulig å logge hvem som til enhver tid er inne på forskjellige programmer og filer. Dette kan gjøres ved hjelp av programvare som har denne funksjonaliteten, men informasjon kan også hentes fra systemenes aktivitetslogg. Ved bruk av enkelte programvarer, kan arbeidsgiveren også kontrollere hva som gjøres i dokumenter og hvorvidt den ansatte deler filer med andre.
• Undersøke aktivitetslogg: Aktivitetslogger viser trafikkdata i de elektroniske systemene som arbeidstakeren bruker. Innsyn i disse loggene vil vanligvis være mulig for dem som administrerer systemet. Slike logger kan avsløre mye om arbeidstakerens digitale liv. For eksempel vil virksomheten ved å undersøke aktivitetsloggene på e-post, kunne ha tilgang til hvem som har sendt e-posten, mottaker, tidspunkt og emnefelt.
• Kontrollere nettaktivitet: Arbeidsgiveren kan logge hvilke nettsider arbeidstakerne besøker og når besøket fant sted. For å kontrollere nettsidehistorikk, vil det ofte være nødvendig å undersøke aktivitetsloggen eller bruke et program som gir denne innsikten.
• Bruk av webkamera: Arbeidstakerne kan også bli instruert om å skru på webkamera. I løpet av koronapandemien har Datatilsynets veiledningstjeneste mottatt flere spørsmål knyttet til arbeidsgivere som har krevd at ansatte skal ha på kamera i interne møter.
• Logge tastetrykk: Det er også mulig å registrere museklikk og hvilke taster som blir trykket. Tastetrykk-logging kan være en måte for å registrere hvorvidt en PC er i aktiv bruk. Tastetrykkene kan også registeres og lagres i den rekkefølgen de har blitt tastet inn, og slik si noe om innholdet i teksten.
• Ta skjermbilder: Noen programmer gjør at arbeidsgiveren kan ta skjermbilder eller skjermopptak av arbeidstakernes skjerm med jevne intervaller for å overvåke aktiviteten på skjermen. Mer avanserte varianter av denne teknologien lar også arbeidsgiveren trekke ut tekst fra nettsider, bilder eller filer som vises på skjermen.

Tiltakene nevnt over vil ofte være tilpasset systemene som brukes. For eksempel kan de innføres som en del av et journalsystem, saksbehandlingssystem eller prosjektstyringsverktøy som arbeidstakerne bruker. Flere tiltak som innarbeides i samme system, vil kunne innhente flere opplysninger om den ansatte. Dette vil ha potensiale til å vise detaljert informasjon om arbeidstakernes atferd og aktiviteter.

Informasjonssikkerhet et vanlig formål for å innføre tiltak som registrerer ansattes aktiviteter. Nasjonal Sikkerhetsmyndighet har utarbeidet veiledning om overvåking med hensikt å beskytte informasjonssystemer.

Test av pogramvare for overvåking og kontroll

Det finnes et stort marked av programvare som er utformet for å overvåke og kontrollere arbeidstakeres digitale aktiviteter. Denne typen programvare kombinerer ofte flere tiltak og funksjonaliteter, og tilbyr et brukervennlig grensesnitt til arbeidsgivere som ønsker å kartlegge aktivitetene til de ansatte.

Slik programvare er utbredt i en del land med svakere personvern- og arbeidsmiljølovgivning enn i Norge. I USA var det blant annet en kraftig økning i salg og bruk av denne typen programvare under pandemien, spesielt i tilknytning til den økte bruken av hjemmekontor (The New York Times, The Washington Post, VOX).

Det er ikke kartlagt hvor mange virksomheter som bruker slik programvare i Norge. Likevel er det rimelig å anta at Norge ikke skiller seg fra andre land. Det er også rimelig å anta at den økte bruken av hjemmekontor, kan føre til at arbeidsgivere i større grad tyr til digitale verktøy for å følge opp arbeidstakerne og kontrollere produktivitet.

Om programvarene

Datatilsynet valgte å se nærmere på et lite utvalg av slik programvare i forbindelse med denne rapporten. Vi installerte programvaren, for så å teste administrator- og ansattrollen i programmet.

Vi så på tre populære overvåkingsprogrammer, heretter omtalt som programvare A, B, og C. Ettersom vi ikke har vurdert lovligheten, har vi valgt å anonymisere dem. Alle programmene er driftet av amerikanske virksomheter. Programvare A og B markedsfører seg imidlertid mot det europeiske markedet på nettsidene sine. Virksomheten som har utviklet programvare C gjør ikke det. Vi har likevel inkludert denne programvaren i testen, ettersom alle er like lett tilgjengelige for nedlasting.

Det var lett å laste ned og installere programvaren, og de billigste løsningene kostet mellom 40 og 100 kroner per bruker i måneden.

Selv om programvarene tilbyr en rekke funksjoner, vil ikke nødvendigvis en arbeidsgiver benytte seg av alle mulighetene. For eksempel kan en arbeidsgiver tenke seg å bruke tidsregistrering i et program, men være uinteressert i de mer inngripende sporingsfunksjonene. Men arbeidsgiveren vil likevel ha administratortilgang til hele systemet, og dette kan skape usikkerhet hos de ansatte når det gjelder hvilke overvåkingsfunksjoner som er på plass og hvilke aktiviteter som blir registrert. I testen vår har vi tatt utgangspunkt i at arbeidsgiveren bruker de fleste funksjonene som programvarene tilbyr, for å vise hvordan dette ville fungert i praksis.

Funksjonalitet

Vi testet programvarene ved å se på hvordan en hypotetisk arbeidsgiver i Norge («Peder») kan bruke programmet til å overvåke hverdagen til en hypotetisk ansatt («Maria»).

Programvare A

Når Maria begynner arbeidsdagen sin, må hun registrere seg inn via Programvare A, og loggføre timene hun jobber. Hun kan se at hun er logget inn og hvor lenge hun har jobbet. Maria vet at programvaren brukes for å registrere tidsbruken hennes, men hun vet ikke hvilke konkrete data arbeidsgiver følger med på.

Peder har, som arbeidsgiver, administratortilgang til alle funksjonene i programmet. Det inkluderer tilstedeværelseskontroll, antall timer jobbet, kontroll av besøk på nettsider, kontroll av aktivitet i programmer og filer, og skjermbilder. Av disse er det kun tilstedeværelseskontroll og antall timer jobbet som Maria ser at blir registrert.

Programvare A gjør også at Peder kan kategorisere forskjellige nettsider og programmer, for eksempel Word, Google Chrome eller enkelte nettsider. Kategoriene inkluderer «produktivt», «uproduktivt» eller «nøytralt», og det er Peder som bestemmer hvilken kategori en nettside eller et program tilhører. Tidsregistreringsfunksjonen trekker Maria i registrert arbeidstid når hun tilbringer tid på «uproduktive» programmer og nettsider.

I løpet av arbeidsdagen har Maria besøkt forskjellige nettsider for private formål. Hun har blant annet brukt arbeidstiden sin til å sjekke lommelegen.no. Peder kan ikke se hvilke undersider på lommelegen.no hun har besøkt, så han ser ikke hvilke sykdommer Maria har lest om.

Peder har imidlertid mulighet til å se skjermbilder av Maria sin skjerm. Disse bildene tas ved jevne intervaller, opp mot 30 ganger per arbeidsdag, og uten at Maria vet at det skjer. Når Maria sjekker bankkontoen sin eller søker informasjon om helsespørsmål, kan det bli med på skjermbildet.

Programvare B

Programvare B er i stor grad lik programvare A. Programmet tilbyr blant annet verktøy som Maria kan bruke til å få oversikt over tiden hun bruker på oppgaver og prosjekter. Likevel får hun en helt annen brukeropplevelse med programvare B.

På arbeidsflaten til dette programmet blir hun informert om hva som er registrert om henne, og hun blir varslet når det tas skjermbilder. Hun har også mulighet til å se hvilke bilder som er tatt og til å få skjermbilder slettet dersom de har innhold hun ikke ønsker at sjefen skal se. Men hvis hun sletter et skjermbilde fjernes også deler av tidsperioden bildet ble tatt i fra den totale arbeidstiden. Hvis det har blitt tatt skjermbilder av Marias skjerm på uheldige tidspunkter, må hun vurdere om det er verdt å miste arbeidstimer for å få dem slettet. Maria har også muligheten til å se skjermbildene fra kollegaene sine.  

Peder kan se mye av det samme som Maria. Han har også tilgang til å justere enkelte personverninnstillinger for å gjøre overvåkingen noe mindre inngripende. For eksempel kan han sette på et filter som gjør at skjermbildene blir uskarpe. Dette er imidlertid ikke en standardinnstilling.

Han kan også velge om han ønsker å se spesifikke nettsider Maria har besøkt. I motsetning til programvare A, må Peder aktivt velge å skru denne funksjonen på før bruk. Hvis Maria har Programvare B installert på mobiltelefonen sin, kan Peder benytte seg av GPS-overvåking for å se hvor hun er.

Programvare C

I likhet med programvare A får ikke Maria informasjon om hvordan hun blir overvåket ved bruk av programvare C. Dette programmet har heller ikke lagt opp til at hun trenger å «sjekke inn» for å logge tiden sin. Derfor forholder hun seg i liten grad til programmet, selv om det aktivt sporer aktivitetene hennes. Programmet vil bli synlig i visse tilfeller, for eksempel når hun får en advarsel etter at hun har brukt for lang tid på nettsider som er kategorisert som «uproduktive».

Peder får imidlertid tilgang til en rekke overvåkingsfunksjoner. Dette inkluderer tilstedeværelseskontroll, kontroll av besøk på nettsider, kontroll av aktivitet på programmer og filer, tastetrykklogging og bildeovervåking av skjerm. 

Gjennom programmet blir alle e-postene til Maria og de andre ansatte tilgjengelige i fulltekst for Peder. Hvis Maria logger seg inn på sin private e-post, vil Peder også kunne lese denne via funksjonen som logger hvilken tekst som vises på skjermen.

Peder kan også se hva som skjer på Marias skjerm i sanntid. Det vil si at all aktivitet kan overvåkes til enhver tid. Peder kan også velge å gjøre opptak som lagres på PC-en hans, og han kan deretter spole frem og tilbake i opptakene. Han har også mulighet til å ta opp lyden fra Marias mikrofon, hvis hun er i en samtale. 

Alt Maria taster inn blir registrert i programmet og ligger synlig for Peder. Til og med passord som Maria skriver inn, blir registrert og videreformidlet som om det var vanlig tekst. Passordene som blir registrert, kan gjelde nettsider som blir brukt til arbeidsformål, men også private kontoer og sosiale medier. Programmet er også utformet slik at Peder kan hente inn video fra den direktesendte oversikten på det tidspunktet en spesifikk tekstsnutt er tastet inn. Alt dette er mulig å gjøre uten at Maria vet hva som foregår.

Oppsummering

Programvarene vi så på gir en indikasjon på hvilke funksjonaliteter og utfordringer som finnes. Alle programvarene har til felles at de gir arbeidsgiveren enkelt og detaljert innsyn i de ansattes arbeidshverdag og tidsbruk. Mange av funksjonalitetene er i tillegg svært inngripende og har potensiale til å avsløre sensitive opplysninger om de ansattes privatliv.

Programvarene varierer når det gjelder hva som registreres og muligheten til å påvirke hvordan opplysningene behandles. Blant de testede programmene var det for eksempel kun ett som ga nevneverdig kontrollmulighet til brukeren. Programvare C hadde flere overvåkingsmuligheter enn de to andre, og enkelte av de samme funksjonene var mer inngripende enn tilsvarende funksjoner i de to andre – for eksempel ved å kunne ha konstant video av skjerm i stedet for sporadiske skjermbilder.

Overvåking og kontroll som tilleggsfunksjon

Det finnes også en rekke populære prosjekt- og samhandlingsverktøy hvor det er en tilleggsfunksjon å samle inn opplysninger om de ansattes digitale aktiviteter. Dette betyr at arbeidsgiveren får tilgang til kontrolltiltak som en del av et verktøy som brukes til andre formål.

Noen eksempler:

• Google Workspace (tidligere kjent som G Suite): Denne programpakken har funksjoner som analyserer de ansattes bruk av samarbeidsverktøy og hvordan de lager og deler dokumenter. Den lar også arbeidsgiveren overvåke e-postaktivitet (for eksempel antall e-poster sendt over en bestemt tidsperiode).
• Microsoft 365: Funksjonen «Productivity Score» samler inn data om hvordan de ansatte bruker programmet, slik at arbeidsgiveren eller administratorer kan vurdere produktiviteten. Opprinnelig tillot Microsoft at man hentet inn opplysninger om enkeltansatte, men etter sterk kritikk annonserte de endringer som involverte å aggregere innhøstede data på virksomhetsnivå (microsoft.no).
• Microsoft Teams: Teams har en funksjon for å følge med på de ansattes aktiviteter når de bruker programvaren. Dette inkluderer innsikt i uplanlagte møter, lengde på møter og info om chat – slik som hvor mange meldinger arbeidstakerne sender i gruppe-kanaler eller direkte til andre kollegaer i løpet av en spesifisert tidsperiode (microsoft.com).
• Zoom: Zoom tilbød en funksjon hvor møtelederen fikk vite om noen av deltagerne klikket seg vekk fra konferansevinduet i mer enn 30 sekunder. Etter en klagestorm mot selskapet ble denne funksjonen fjernet (zoom.us).

Utfordringer med hjemmekontor

Statistikk fra SSB viser at seks til åtte prosent av arbeidstakere hadde en avtale om hjemmekontor mellom 2006 og 2019 (ssb.no). Disse tallene endret seg dramatisk etter utbruddet av pandemien i 2020, hvor hjemmekontor ble brukt som et viktig smittevernstiltak. Tall som Datatilsynet har hentet inn, viser at over halvparten (56 prosent) av de ansatte i Norge hadde hjemmekontor i løpet av pandemiåret 2021. Det er også mange indikasjoner på at hjemmekontor vil bli del av en ny normaltilstand etter pandemien.

Arbeidstakere bruker vanligvis samme PC på hjemmekontoret som på arbeidsplassen. Dette kan føre til at ulike kontrolltiltak tas med inn i arbeidstakerens hjem. For eksempel vil et webkamera kunne fange opp en privat sfære der arbeidstakeren har en beskyttelsesverdig interesse av å være i fred.

På hjemmekontor vil det også være en lavere terskel for å bruke jobb-PC til private formål etter ordinær arbeidstid. Det betyr at tiltak som registrerer ansattes digitale aktiviteter også vil gjelde for hva de ansatte gjør på fritiden. I tillegg, hvis arbeidsgivere innfører flere verktøy for å samhandle og koordinere som en kompensasjon for mer hjemmekontor, vil dette også øke den totale registreringen av opplysninger om arbeidstakerne.

Utbredelsen av overvåkingsverktøy rettet mot arbeidstakere som jobber hjemmefra, har allerede skapt motreaksjoner hos myndigheter i flere land. Ifølge det europeiske arbeidstilsynet (European Agency for Safety and Health at Work, euagenda.eu) er det blitt ulovlig for arbeidsgivere i Portugal å bruke kontroll- og overvåkingsverktøy for å måle prestasjon ved fjernkontor (inkludert hjemmekontor). I tillegg har det franske datatilsynet (CNIL) i løpet av 2022 planlagt å utføre tilsyn med overvåkingsverktøy som brukes i forbindelse med fjernarbeid (cnil.fr)..

I Norge ble det i 2022 innført endringer i forskriften som regulerer hjemmekontor (regjeringen.no), men disse endringene gjaldt i liten grad bruk av overvåkings- og kontrolltiltak.

Arbeidsgivers styringsrett innebærer likevel at virksomhetene i noen tilfeller har lov til å iverksette kontrolltiltak for eksempel for å verne virksomheten mot uønskede eller ulovlige handlinger, såfremt de holder seg innenfor lovens rammer.

Mange arbeidstakere bruker dessuten PC og mobiltelefon som arbeidsgiveren har stilt til deres disposisjon, til private gjøremål. Når en arbeidstaker i tillegg jobber hjemmefra viskes skillet mellom jobb og privatliv ytterligere ut.

Verktøy som overvåker arbeidstakere på hjemmekontor, vil være særlig inngripende fordi hjemmet er i kjernen av retten til privatliv. Verktøy som for eksempel gjør lydopptak eller filmer arbeidstakere for å kontrollere arbeidsinnsatsen deres når de er hjemme, vil også fange opp det som er en privat sfære. Dette kan være utfordrende med tanke på reglene i personvernforordningen.

Regelverket

Arbeidsgiverens adgang til å innføre kontrolltiltak, er et arbeidsrettslig spørsmål som først og fremst reguleres av arbeidsmiljøloven (kapittel 9).

Arbeidsgiverens adgang til å behandle personopplysningene som hentes inn gjennom kontrolltiltaket, er derimot et personvernrettslig spørsmål, og det reguleres først og fremst av personopplysningsloven og personvernforordningen. Det gjelder blant annet innsamling, lagring og videreformidling av opplysninger.

Dersom det innføres et kontrolltiltak, vil det i de aller fleste tilfeller også innebære en eller annen form for behandling av personopplysninger. Dermed vil bestemmelsene i arbeidsmiljøloven og personopplysningsloven gjelde parallelt. I tillegg finnes det spesialregler i forskriften om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale (lovdata.no).

Rettslig grunnlag

Jo mer inngripende en behandling av personopplysninger er, desto vanskeligere er det for arbeidsgiveren å finne et rettslig grunnlag for behandlingen. Arbeidsgivere må alltid ha et rettslig grunnlag for behandling av personopplysninger før behandlingen starter.

Arbeidsgivere kan som den klare hovedregelen ikke bruke samtykke som et rettslig grunnlag for å innføre kontrolltiltak som innebærer å overvåke ansatte. Det er på grunn av det ujevne maktforholdet mellom arbeidsgiveren og de ansatte, og at de derfor kan derfor føle seg presset til å samtykke. Ifølge personvernforordningen er frivillighet en grunnleggende forutsetning for et gyldig samtykke.

Det mest relevante rettsgrunnlaget for å behandle personopplysninger gjennom kontrolltiltak, er interesseavveiing (personvernforordningen artikkel 6, bokstav f). En virksomhet kan også være underlagt særlovgivning som pålegger selskapet å innføre logging eller annen registrering av arbeidstakers adferd i datasystemer, for eksempel gjennom sikkerhetsloven. I slike tilfeller kan rettslig forpliktelse (artikkel 6, bokstav c) være et rettslig grunnlag.

Forbud mot overvåking av ansattes bruk av elektronisk utstyr

Det er et forbud mot "overvåking" av ansattes bruk av elektronisk utstyr, herunder bruk av internett, i epostforskriften § 2 annet ledd.

Overvåking av en arbeidstakers bruk av elektronisk utstyr er forbudt, og kan bare unntaksvis skje hvis formålet er å administrere virksomhetens datanettverk eller avdekke eller oppklare sikkerhetsbrudd i nettverket. Overvåkingstiltaket må være nødvendig for disse formålene.

Det finnes få rettskilder som sier noe om hva overvåking er, og vi får mange spørsmål om hva overvåking innebærer etter forskriften. Vi jobber for tiden med veiledning om dette temaet.

I denne rapporten bruker vi begrepet «overvåking» flere steder. Vi har imidlertid ikke vurdert om verktøyene vi har testet omfattes av forbudet i e-postforskriften eller om de oppfyller unntakene. Arbeidsgivere som vurderer å ta i bruk denne typen verktøy må i tråd med ansvarlighetsprinsippet alltid vurdere om tiltaket er lovlig før det starter.

Arbeidsgiverens forpliktelser

Når en arbeidsgiver innfører kontrolltiltak, vil virksomheten som hovedregel være behandlingsansvarlig for personopplysningene som samles inn gjennom tiltaket. Det er den behandlingsansvarlige som har ansvaret for å følge reglene i personvernforordningen.

Personvernforordningen inneholder noen grunnleggende prinsipper for behandling av personopplysninger. Disse må arbeidsgiveren som behandlingsansvarlig oppfylle når det skal innføres kontrolltiltak. Prinsippene regulerer også hva arbeidsgiveren kan bruke personopplysningene som samles inn til. Nedenfor fremhever vi noen av de mest sentrale prinsippene i forbindelse med kontrolltiltak.

Lovlighetsprinsippet og åpenhetsprinsippet innebærer at arbeidsgiveren aldri kan behandle personopplysninger uten rettslig grunnlag, og at arbeidsgiveren skal behandle personopplysninger på en åpen måte overfor de registrerte. Arbeidsgiveren har plikt til å gi arbeidstakeren informasjon om hvordan personopplysningene deres behandles, og informasjonen skal gis før tiltaket settes i gang.

Prinsippet om dataminimering setter grenser for hvilke opplysninger arbeidsgiveren kan samle inn om de ansatte. Ifølge dette prinsippet skal arbeidsgiveren aldri samle inn mer personopplysninger enn det som er nødvendig for å oppnå formålet med en behandling. Arbeidsgiveren må også begrense innsamlingen til de opplysningene som er egnede og relevante for å oppnå formålet.

Prinsippet om formålsbegrensing  innbærer at all behandling av personopplysninger skal ha spesifikke og uttrykkelige angitte formål. Disse skal være angitt før behandlingen starter. Grunnen til at formålene skal være spesifikke er blant annet at arbeidstakerne skal være beskyttet mot formålsutglidning – altså at opplysninger viderebehandles av arbeidsgiveren på en måte som er uforenlig med de opprinnelige formålene.

Dersom arbeidsgiveren innfører tiltak der formålet er å ivareta informasjonsikkerheten i virksomheten eller registrere arbeidstid, vil altså formålet med tiltakene sette begrensinger for hva arbeidsgiveren kan bruke personopplysningene til. I vurderingen av hva som er forenelige formål skal blant annet arbeidstakernes forventinger veie tungt. De ansatte vil for eksempel sjeldent ha en forventning om at et dataprogram for registrering av arbeidstid også vil brukes til å kontrollere hvor effektive de er på jobb.

Kravet til innebygd personvern og personvern som standardinnstilling er også sentralt når en arbeidsgiver skal innføre kontrolltiltak. Kravet til innebygd personvern innebærer blant annet at arbeidsgiveren må iverksette tilstrekkelige tekniske og organisatoriske tiltak, samt gi nødvendige garantier i behandlingen av personopplysninger for å sikre at personvernprinsippene og de registrertes rettigheter og friheter ivaretas på en effektiv måte.

Les mer om virksomhetens plikter

Arbeidstakernes rettigheter

Personvernforordningen gir de registrerte (arbeidstakerne) flere rettigheter når arbeidsgiveren behandler personopplysningene deres. Arbeidstakerne har blant annet rett til informasjon om hvordan og hvorfor arbeidsgiveren behandler opplysningene deres, rett til innsyn i egne opplysninger, og i flere tilfeller rett til å protestere på at arbeidsgiveren behandler personopplysningene deres. Arbeidsgiveren har også plikt til å legge til rette for at arbeidstakerne kan utøve rettighetene etter personvernregelverket.

Les mer om de registrertes rettigheter

Klager

Hvis enkeltpersoner opplever det de mener er et brudd på personvernregelverket, kan de sende en klage til Datatilsynet. Alle brudd blir ikke klaget inn, og innsikten vår på området er derfor ikke nødvendigvis dekkende, men sakene gir likevel relevant kunnskap og indikasjoner om viktige trender å følge med på.

I løpet av 2021 fattet Datatilsynet flere vedtak som gjaldt overvåking og kontroll av ansattes digitale arbeidsverktøy på bakgrunn av innsendte klager. Mange av disse handlet om innsyn i ansattes e-post og førte til betydelige overtredelsesgebyr:

• En virksomhet fikk overtredelsesgebyr for innsyn i en tidligere ansatts e-post. Arbeidsgiveren hadde byttet passord og logget seg inn i den ansattes e-post hver dag i en periode på seks uker etter opphør av arbeidsforholdet. 
• Datatilsynet fattet også to vedtak som gjaldt automatisk videresending av innkommende e-post. I den ene saken ba arbeidsgiveren om at den ansatte skulle sette på automatisk videresending fra egen e-post til en felles e-postkasse i virksomheten. Vi konkluderte med at virksomheten blant annet manglet rettslig grunnlag for videresendingen, og den fikk et pålegg om å betale 250 000 kroner i overtredelsesgebyr. I den andre saken ble den automatiske videresendingen aktivert i forbindelse med en arbeidstakers sykefravær, og varte i over en måned. På bakgrunn av dette måtte virksomheten utbedre de skriftlige rutinene for innsyn i e-postkasse, samt betale et overtredelsesgebyr på 400 000 kroner for den ulovlige videresendingen.
• I tillegg ble det gitt kritikk (irettesettelse) til en virksomhet etter at det var gjort innsyn i e-posten til en tidligere styreleder uten å gi informasjon om innsynet.  
• En annen virksomhet fikk overtredelsesgebyr fordi arbeidsgiveren ulovlig hadde lagret og brukt ansattes IP-adresse. Bakgrunnen for saken var en klage fra en tidligere ansatt som fikk IP-adressen sin lagret i et elektronisk kommunikasjonssystem. IP-adressen ble senere brukt for å etterforske den ansatte for illojal opptreden.

Disse sakene viser noen eksempler på hva slags digital overvåking arbeidstakere opplever. Datatilsynet erfarer at det er en høy terskel for arbeidstakere å sende klage på en arbeidsgiver man fremdeles jobber for. Dette kan være fordi arbeidstakeren er bekymret for represalier eller at de ikke er kjent med personvernregelverket. Manglende kunnskap om hvilke kontrolltiltak arbeidsgiveren har innført, gjør det også vanskelig å sende inn en klage. I tillegg vil også manglende kunnskap om egne personvernrettigheter være en faktor. Tidligere undersøkelser (personvernundersøkelsen 2019/2020) har vist at mange ikke er kjent med rettighetene de har.

Datatilsynet har per i dag ikke fattet vedtak i saker som gjelder bruk av spesifikk programvare som overvåker eller kontrollerer arbeidstakere.

Henvendelser til Datatilsynets veiledningstjeneste

Veiledningstjenesten vår er et viktig lavterskeltilbud for enkeltpersoner og virksomheter som har spørsmål om personvern og regelverket. I løpet av 2021 mottok tjenesten 5 911 henvendelser, hvorav 27 prosent gjaldt spørsmål om arbeidsliv. Flere av disse henvendelsene  handlet om overvåking og kontroll av ansattes digitale aktiviteter.

De som ringte inn fortalte for eksempel at arbeidsgivere innførte kontrolltiltak i forbindelse med økt bruk av hjemmekontor. Vi fikk høre eksempler på at arbeidstakere ble pålagt å ha på kamera hele arbeidsdagen eller i møter for å kunne kontrollere arbeidstakernes arbeidsinnsats eller tilstedeværelse. Det ble også fortalt om arbeidsgivere som hadde løpende innsyn i e-post. Vi fikk også lignende henvendelser fra studenter som opplevde å bli pålagt å ha på kamera under forelesninger eller seminarer. I løpet av 2021 mottok Datatilsynet også over 126 henvendelser om lydopptak av samtaler i arbeidslivet.

De to hovedspørsmålene vi så nærmere på var:

1. Hvordan opplever arbeidstakere kontroll- og overvåking i arbeidssammenheng?
2. Hvilke tiltak har arbeidstakere sett indikasjoner på at blir brukt for å overvåke og kontrollere?

Undersøkelsen ble gjennomført av Respons Analyse på oppdrag av Datatilsynet i perioden 17.-21. desember 2021 via webpanel. Utvalget er landsrepresentativt og består av 832 respondenter, på tvers av alle bransjer. Det betyr at også de som jobbet i yrker hvor det er lite skjermbruk, har svart på undersøkelsen. Bakgrunnsvariablene indikerer likevel at mange av arbeidstakerne har måttet forholde seg til digitale arbeidsverktøy, og hele 56 prosent svarte at de har jobbet fra hjemmekontor i løpet av pandemiåret 2021.

Datatilsynet har også tidligere gjennomført undersøkelser hvor vi har sett på personvern på arbeidsplassen. I personvernundersøkelsen 2019/2020 spurte vi blant annet om respondentene hadde tillit til hvordan arbeidsgiveren behandlet personopplysningene deres. Svarene viste at 68 prosent hadde tillit til arbeidsgiverens behandling av personopplysningene, mens ni prosent oppga å ha liten eller ingen tillit.

Samme undersøkelse viste også at flere opplevde at fagforeningstilhørighet var en mer beskyttelsesverdig personopplysning sammenlignet med tidligere år. Vi fant også at seks av ti er negative til overvåking der de utfører arbeidsoppgavene sine eller studerer. Like mange er negative til at overvåkingsanlegg på arbeidsplasser gjenkjenner og registrerer ansatte. 

Bruk av overvåkingssystemer for å styre arbeidet

Da vi spurte om arbeidstakerne opplevde at arbeidsgiveren styrer arbeidet deres ved bruk av digitale kontroll- og overvåkingssystemer, viste svarene at et mindretall (13 prosent) hadde opplevd dette i «noen» eller «stor» grad. Selv om slike systemer ikke ser ut til å være vanlige i Norge, er det altså flere som opplever bruk av slike systemer. Et viktig usikkerhetsmoment er imidlertid i hvilken grad arbeidstakerne er klar over at arbeidsgiveren bruker slike systemer.

Måling av produktivitet

Digitale overvåkings- og styringssystemer innføres ofte med hensikt om å øke de ansattes produktivitet. For å kvantifisere eller analysere produktiv atferd, vil det ofte være nødvendig å innføre kontrolltiltak slik at det kan innhentes informasjon om de ansatte.

Vi spurte derfor respondentene om de har måttet forholde seg til programvare på jobben som måler produktiviteten deres.

Svarene viser at 14 prosent av arbeidstakerne har opplevd dette. Det er imidlertid store variasjoner i hvordan man kan bruke programvare for å måle produktivitet, og undersøkelsen har ikke gått inn på dette. Noen programmer tilbyr løsninger som registrerer hva ansatte bruker tiden på i løpet av en arbeidsdag, mens andre måler ansatte opp mot kundetilfredshet, resultatmål og inntjening.

Bruk av denne typen programvare vil antageligvis øke i fremtiden, ettersom teknologien blir billigere og mer brukervennlig. Utviklingen innenfor kunstig intelligens vil også gjøre at det kan utvikles algoritmer som kartlegger og forutsier prestasjonene til de ansatte med stadig større nøyaktighet. Men ukritisk innføring av nye kontroll- og målingssystemer kan også utfordre personvernet til de ansatte. Når store datamengder samles inn om oss på jobb, kan det bli vanskelig å forstå hvordan opplysningene brukes, og det kan oppleves som inngripende å bli kartlagt i detalj.

Har de ansatte oversikt over hvilken informasjon arbeidsgiveren samler inn?

I arbeidslivet blir det mange steder generert store mengder digitale spor som kan knyttes til den enkelte ansatte. Dette kan inkludere data fra adgangskontroll, tidsregistrering, GPS-sporing og bruk av PC og telefon. Alle sporene som kan knyttes til arbeidstakerne som fysiske personer – slik som når de kommer på jobb, og hva de søker etter på nett – er å betrakte som personopplysninger. En arbeidsgiver vil dermed kunne sitte med en betydelig mengde personopplysninger om hver enkelt arbeidstaker.

Vi spurte derfor om i hvilken grad respondentene føler at de har oversikt over hvilken informasjon arbeidsgiveren samler inn.

Over halvparten (55 prosent) svarer at de enten ikke har oversikt i det hele tatt, eller at de har det i «liten» eller «svært liten» grad. Svært mange arbeidstakere har altså ikke oversikt over hvilken informasjon arbeidsgiveren samler inn gjennom digitale verktøy. Én av fire arbeidstakere svarer at de «ikke i det hele tatt» har oversikt.  

Dette er bekymringsfulle tall. En arbeidsgiver har plikt til å informere de ansatte om hvilke opplysninger som blir registrert. Svarene viser at kunnskap om hvilke opplysninger som blir samlet inn ser ut til å være svært mangelfull i mange virksomheter. Samtidig er det nok også slik at digitale arbeidsverktøy generer såpass store mengder opplysninger, at det også kan være utfordrende for arbeidsgiveren selv å ha oversikt.

Hvilke type overvåking har arbeidstakerne opplevd at arbeidsgiveren bruker?

Som tidligere nevnt, er det mange tiltak som kan overvåke og kontrollere arbeidstakernes digitale aktiviteter.

Da vi spurte om hvilke ulike overvåkingstiltak respondentene hadde opplevd på dette feltet, svarte det store flertallet at de ikke hadde opplevd slik overvåking. Syv prosent av respondentene svarer likevel at de har sett indikasjoner på at arbeidsgiveren har overvåket eller overvåker hvilke nettsider de besøker. En slik overvåking kan være svært problematisk og vil kunne medføre overtramp av arbeidstakerens rett til personvern. Kun tre prosent av respondentene svarer at de har sett indikasjoner på at arbeidsgiveren overvåker e-post eller PC-/skjermbruk.

Tallene i denne undersøkelsen er sammenlignbare med en undersøkelse som forskningsstiftelsen Fafo utførte i 2019. I den undersøkelsen, hvor over 6000 arbeidstakere svarte, oppga hele 15 prosent at de hadde opplevd overvåking av hvilke nettsider de hadde besøkt. Dette kan indikere at slik kontroll ikke er en økende trend.

Konsulentselskapet Deloitte utførte imidlertid en undersøkelse i 2021/2022 om bruk av kontrolltiltak i norske virksomheter. Deres undersøkelse var rettet mot arbeidsgivere i ulike bransjer. Svarene fra undersøkelsen viste en betydelig høyere bruk av kontrolltiltak. For eksempel svarte 17 prosent av arbeidsgiverne at de har kontrolltiltak når det gjelder hvilke nettsider de ansatte besøker.

Dette kan tyde på at det er mer overvåking i arbeidslivet enn arbeidstakerne er klar over. Årsakene kan være sammensatte, men mangelfull informasjon om kontrolltiltak kan i alle fall være én forklaring. At mange arbeidstakere ikke har oversikt over alle verktøyene som brukes og hvilken informasjon arbeidsgiveren registrerer, gjør at bruken av overvåkingstiltak kan være noe høyere i virkeligheten.

Hvis vi ser på bakgrunnsvariablene for undersøkelsen, ser vi at de med høyere inntekt i noe høyere grad opplever at disse formene for overvåking og kontroll blir brukt. Det kan muligens forklares med at disse formene for kontroll er mest relevante i yrker som er preget av mye skjermarbeid. Dette er ofte yrker med høyere lønninger, slik som for eksempel innenfor faglige, akademiske og tekniske yrker som vanligvis krever høyere utdanning. Samtidig mottar Datatilsynet mange henvendelser om overvåking og kontroll i arbeidslivet fra ufaglærte og arbeidstakere i lavtlønnsyrker, men disse handler ofte om mer «tradisjonelle» former for overvåking, som for eksempel kamera på arbeidsplassen og GPS-overvåking av kjøretøy, og det er ikke en del av denne undersøkelsen.

Vi har på bakgrunn av funnene våre utformet noen råd til arbeidsgivere som vurderer å innføre overvåkings- og kontrolltiltak på arbeidsplassen:

1. Vurder lovligheten før tiltakene innføres
   Husk de grunnleggende prinsippene for behandling av personopplysninger, og at et kontrolltiltak både må oppfylle kravene i personvernregelverket og arbeidsmiljøloven.
2. Unngå samtykke som rettslig grunnlag
   Arbeidsgivere kan som hovedregel ikke bruke samtykke som et rettslig grunnlag for kontrolltiltak. Dette er fordi arbeidstakere kan føle seg presset til å samtykke, og frivillighet er en grunnleggende forutsetning for et gyldig samtykke.
3. Skjult overvåking av ansatte er ulovlig
   Arbeidsgiveren har plikt til å informere de ansatte om hvordan personopplysningene deres blir behandlet. Det betyr at skjult overvåking av arbeidstakere som regel er ulovlig.
4. Ikke stol på at programvare er utformet for å imøtekomme kravene i norsk lovgivning Arbeidsgiveren må gjøre selvstendige vurderinger av om funksjonalitetene i programvare og verktøy for å registrere de ansattes digitale aktiviteter, er i tråd med norsk lov. Programvare som lastes ned fra internett er ofte ikke utviklet for å imøtekomme kravene i norsk arbeidsmiljø- og personvernlovgivning.
5. Husk plikten til å bruke løsninger med innebygd personvern og personvern som standardinnstilling
   Det innebærer blant annet at arbeidsgiveren må iverksette tilstrekkelige tekniske og organisatoriske tiltak og gi nødvendige garantier for å sikre at personvernet ivaretas.
   
6. Ta kontakt med personvernombud og tillitsvalgt
   Kontrolltiltak skal drøftes med de tillitsvalgte. Hvis virksomheten har et personvernombud, skal denne personen også involveres. Ombudet skal hjelpe virksomheten med å etterleve personvernlovgivningen og med å ivareta de ansattes interesser.
7. Kontakt Datatilsynet eller Arbeidstilsynet for råd
   Det finnes god veiledning på både våre og Arbeidstilsynet sine nettsider. Datatilsynet har blant annet en egen nettside om personvern på arbeidsplassen.