Overvåking og logging av arbeidstakeres bruk av datasystemer
De fleste datasystemer har automatiske loggfunksjoner. Virksomheten har et ansvar for hvordan de opplysningene loggingen genererer blir brukt.
De fleste datasystemer har automatiske loggfunksjoner. Virksomheten har et ansvar for hvordan de opplysningene loggingen genererer blir brukt.
Virksomheten må logge alt som har betydning for informasjonssikkerheten. Loggingen er nødvendig for at systemet skal fungere. Det skal registreres hvem som har forsøkt å logge seg på systemet eller ulike program, og om dette ble godkjent eller ikke. Det vanligste er at det skjer en logging av hvem som til enhver tid er inne på forskjellige programmer og filer. Ansattes aktiviteter på internett eller bruk av skriver logges også automatisk.
Virksomheten skal opplyse arbeidstakere om hva som er akseptabel bruk av datasystemet. Det kan gjøres gjennom definerte sikkerhetsmål, strategi og risikovurdering. Virksomheten kan bestemme at nedlasting av musikkfiler eller store bildefiler ikke kan aksepteres ut fra systemets sikkerhetsnivå. Virksomheten kan også på bakgrunn av en vurdering av sikkerhetsnivået til datasystemet forby at de ansatte bruker systemet til private formål. Dette ligger i arbeidsgivers styringsrett.
Datatilsynet forutsetter at virksomheten har retningslinjer for bruk av datasystemet. De ansatte må kjenne til disse retningslinjene og konsekvensene av å bryte dem. Hva slags følger eventuelle brudd på sikkerheten får for de ansatte, er det ikke opp til Datatilsynet å vurdere. Annen lovgivning, for eksempel arbeidsmiljøloven, setter grenser for dette.
Arbeidsgiveren kan også benytte loggene til overordnet systemovervåking eller generell kontroll av datasystemet. Denne kontrollen kan imidlertid bare skje på gruppenivå for hele eller deler av virksomheten.
Noen ganger vil arbeidsgiveren da kunne se av loggene at de ansatte misbruker datasystemet for eksempel ved at det lastes ned filer og programmer i strid med interne retningslinjer og instrukser, eller at det generelt benyttes for mye tid på internett. Det finnes da forskjellige tekniske løsninger arbeidsgiveren kan velge som ikke innebærer behandling av personopplysninger. Dette kan for eksempel være innføring av sperre mot visse typer nedlastning, filer eller nettsteder.
Hvis arbeidsgiveren oppdager aktivitet som ikke er lov, bør han/hun gi beskjed om at det vil bli kontrollert hvem som står for den ureglementerte aktiviteten hvis den ikke tar slutt innen en gitt frist.
Dersom aktiviteten ikke er opphørt når fristen er utløpt, vil arbeidsgiveren uten samtykke fra de ansatte kunne bruke loggene til å finne frem til den som står bak.
Det er i slike tilfeller en forutsetning at arbeidstakerne har fått utfyllende informasjon i forkant. Den ansattes personvern vil da veie mindre enn arbeidsgiverens berettigede interesse i kontrollen. De opplysningene som kommer frem kan antagelig bli benyttet mot den ansatte for eksempel i en arbeidsrettssak. Dette følger imidlertid andre regler enn personopplysningsloven.
Dersom loggene indikerer straffbare forhold, for eksempel surfing på barnepornografi, skal politiet alltid kontaktes.
Arbeidsgiveren kan ikke uten videre kartlegge hvor mye tid hver enkelt bruker på internett, eller hvilke sider som blir besøkt. Loggene kan for eksempel ikke benyttes til overvåking av de ansatte til bruk ved oppsigelser uten særskilt behandlingsgrunnlag. Bruk av loggopplysningene til denne typen formål skal meldes til Datatilsynet.
Arbeidsgiver kan heller ikke bruke logger over aktivitet i interne saksbehandlersystemer til å overvåke de ansattes produksjonstakt.
Vi har laget en sjekkliste over hvordan arbeidsgiver kan og ikke kan bruke logger fra datasystemet.
Med god internkontroll og et bevisst forhold til å sikre opplysninger sørger virksomheten for at den behandler personopplysninger lovlig, sikkert og forsvarlig.