Hva er vi redde for? Børje Furunes 1

Transkript

1 Hva er vi redde for? Børje Furunes 1

2 Hvem er jeg Fra region nord-norge Narvik, Rana, Bodø og Tromsø Fagopplæring Ran og vold Familie og likestilling Personvern Sosial dialog EU Utvandret fra Tromsø 1997

3 Kilder Datatilsynet Teknologirådet Uni Oslo Telenor Børje Furunes 3

4 Hva skal jeg snakke om? Personvern generelt Personvern i arbeidslivet Innspill fra dere -Hva kan arbeidsgiver samle inn av info om meg? e-post -Innsyn Lover og regler Hva kan og bør dere foreta dere som privatpersoner og ansatte?!

5 Mål for meg Inspirere, engasjere og provosere Gjøre lover underholdene Børje Furunes 5

6 Børje Furunes 6

7 Hva er personvern? Beskyttelse av privatlivets fred Ivaretakelse av den personlige integritet Retten til å bestemme over egne personopplysninger Retten til å være i fred Børje Furunes 7

8 Hva er personvern? - - Beskytte enkeltindividet - Storebror? - Lillebrødre? Børje Furunes 8

9 Personvern på 1600-tallet Mandhelgebolken i Christian IVs Norske Lovbog : «Dicter mand rim eller vjser om nogen, oc quæder hannem til spot oc vanære, saa det ryctis en fierding veyes [«nabogrenda»] eller skal hand steffne hannem til tinge.» Børje Furunes 9

10 Opplysninger om deg i løpet av dagen Børje Furunes 10

11 Børje Furunes 11

12 Adgangskontroll Behandlingsgrunnlag 8f) Brukes det til annet enn å ivareta interne sikkerhetsmessige forhold må det innhentes samtykke Bedriftens system for tidsregistrering kan bruke samme leser og system, men kobling krever samtykke Begrenset adgang til å benytte fingeravtrykk og lignende ( 12) Rema Esso Børje Furunes 12

13 Børje Furunes 13

14 Børje Furunes 14

15 Utro på en mandag Ansatte surfer aller heftigst etter f eks ny jobb klokken 12 og 14 på mandager. Så faller intensiteten ettersom dagene går, for å vise et visst oppsving på fredag, før de hjemlige plikter kaller Børje Furunes 15

16 Børje Furunes 16

17 g&feature=fvw Børje Furunes 17

18 Trygdesvindel avslørt på Facebook En kvinne er dømt til seks måneders ubetinget fengsel for trygdesvindel, etter at hun oppga på Facebook av hun var samboer. Tobarnsmoren fikk utbetalt over kroner i utvidet småbarnstillegg, bidragsforskudd og overgangsstønad Børje Furunes 18

19 Sjefen er ei hensynløs kjerring.» Det skrev en ansatt i varehandelen i statusfeltet sitt på nettsamfunnet Facebook - Jeg tenkte ikke at Facebook var et offentlig medium. Jeg tenkte at å skrive noe der var som å snakke med vennene mine, legger hun til Børje Furunes 19

20 Hva er dette? Børje Furunes 20

21 Børje Furunes 21

22 Teknologiene gjør det enkelt for brukerne Mange har trådløse nettverk hjemme. Det er lettvint, fordi man slipper å installere ledninger der man vil bruke datautstyret. Få sikrer nettet sitt. Det er det samme som å legge inn nettverkskontakter til naboene samtidig som man reklamerer på de nærmeste lyktestolpene.

23 Hva deler vi med andre? Børje Furunes 23

24 La eksen naken på nett En sarping la ut nakenbilder av ekskjæresten på internett for å hevne seg kroner i erstatning etter å ha lagt ut nakenbilder av ekskjæresten sin på internett. Distribueringen av de svært private bildene var en hevnaksjon fra mannens side. Tilbud om overvåkning Børje Furunes 24

25 Børje Furunes 25

26 Ny teknologi

27 Mobilens muligheter Browser WEB- Services Tale Electronic ID PKI evoting Message services Electronic Signature Games/ Lotto epurse Visa, Bank Payment/ mcommerce Video/Music/ Camera/ MMS Data communications Physical vicinity? On net? Mapapplications Navigation PKI-signed biometric templates Present or absent? Electronic passport Location services (m)key transfer services Ditt identitetsmerke vil settes i mange sammenhenger via mobilen Børje Furunes 27

28 Sporing av mobil telefoner Autozeek lar deg spore en eller flere mobiltelefoner «live» på Internett med elektronisk kart. GSM-posisjonering gjør det mulig å spore helt vanlige mobiltelefoner. Nå kan Autozeek gjøre dens posisjon tilgjengelig med elektroniske kart på Internett Tjenesten kostet 119 kroner i måneden og 2 kroner og 50 øre per posisjonering. Autozeek, Fleet Manager FleetOnline Norge og MapSolutions Børje Furunes 28

29 Børje Furunes 29

30 Børje Furunes 30

31 Google Earth Børje Furunes 31

32 Børje Furunes 32

33 Børje Furunes 34

34 Storebror ser deg ved Oslo S Hvor mange i Oslo i dag? Nå ca 650 kameraer ved Oslo S Børje Furunes 35

35 øyne ser deg i Oslo Tallet utgjør omtrent ett kamera for hver tiende innbygger. Til sammenlikning har London ifølge studien UrbanEye kameraer, ett for hver femtende London-boer. Biometriske kamera Børje Furunes 36

36 Børje Furunes 37

37 Trådløse soner Google Earth Børje Furunes 39

38 Hva er vi redde for? Børje Furunes 42

39 Børje Furunes 43

40 Greit når du veit at du går med med en brikke. Noen har den til og med satt inn under huden (som adgangsdings for eksklusive klubber) Men hva hvis de ubevisst finnes i klærne dine? Eller i barberhøvelen din for den slags skyld? Børje Furunes 44

41 Radio Frekvens Identifikasjon av varer og mer. Spore mennesker Sykehus, gamlehjem Pasienter, personell på sykehus, spedbarn, skolebarn Hunder og katter. Erstatte adgangskort Identifikasjon av dyr Rasedyr, veddeløpsdyr - Mat-typing & dosering Andre formål Kompetanseutvikling Ved ulykker Måle arbeids prestasjoner Uniformerer Børje Furunes 45

42 Børje Furunes 46

43 RFID - nå også på tape Induksjonsspole Selve chip en Pris pr. RFID tag: ned mot 5 cent (US) Børje Furunes 47

44 RFID RFID identifiserer de gjenstander de er festet til gjennom utsendelse av radiobølger. Slike brukes i dag til å effektivisere vareflyt og lagerhåndtering innen vareproduksjon og i transportsektoren. Merking av sluttprodukter i varehandelen er et område hvor det forventes store utfordringer knyttet til personvernet.

45 Boycott Gillette Products! Click for details. Andre: - Wal-Mart -Benetton: Benetton was considering putting RFID trac in their clothing that can be read from a dis used to monitor the people wearing them. Annet: Børje Furunes 50

46 Børje Furunes 51

47 Børje Furunes 52

48 RFID Fortsetter Sjekkliste for tillitsvalgte og ansatte Fått noen informasjon? Helse konsekvenser? Rasjonaliserings konsekvenser Prestasjonsmåling? Sjekke hvor dere befinner dere? Børje Furunes 53

49 Googling hva er det? Informasjon om deg på nettet kan nemlig hindre deg fra at du får drømmejobben Sjefen og nye sjefer ser etter deg på nettet. Norske rekrutteringsselskap bekrefter at det er relativt vanlig å ta i bruk nettet i jakt på mer bakgrunns informasjon om de potensielle arbeidstakere Børje Furunes 54

50 Børje Furunes 55

51 Børje Furunes 56

52 Børje Furunes 57

53 USA krever alle opplysninger om deg Børje Furunes 58

54 Børje Furunes 59

55 ARJIS Børje Furunes 60

56 Arjis Crime & Disorder Børje Furunes 61

57 Arrestasjoner Børje Furunes 62

58 California Sex Offender Locator Map Børje Furunes 63

59 Sex-Kriminelle i Los Angeles Los Angeles Børje Furunes 64

60 26 March 2010

61 Hva har n gjort? Børje Furunes 66

62 Børje Furunes 68

63 Børje Furunes 69

64 Børje Furunes 70

65 Overvåket med en pizza= Børje Furunes 71

66 Børje Furunes 72

67 PERSONVERN I ARBEIDSLIVET Børje Furunes 73 Noen som ser meg musikk=

68 Børje Furunes 74

69 Former for overvåkning Adgangskontroll ITV (video/fjernsyn) E-post Mystory shopper og ansatt Internettbruk (web) Edb-programmer/tastatur Tlf-logger/opptak Mobil posisjonering RFID (Radio Frekvens Identifikasjon) GPS / Ferdskrivere Rusmiddeltesting Ransaking Bometriske verktøy Sladrebrikke i alle PCer Hvor har du vært? Når var du der? Hva gjorde du? Hvem snakker du med? Hva snakket du om? Hvem snakket du om? Hvor er du? Hvor lenge? Hvor ofte? Børje Furunes 75

70 HKs medlemmers tilbakemeldinger Hemmelig kunde Ransaking av ansatte Kameraovervåkning E-post og logging RFID i lager/automatisering Mobilposisjonering Varsling i arbeidslivet ( whistleblowing )? I Fagforbundet Børje Furunes 76

71 Arbeidsgivers kontrolladgang og verktøykassa Styringsretten Arbeidsmiljøloven Kap. 9 Personopplysningsloven Avtaler F. eks. Hovedavtalen mellom LO/NHO/KS...osv Tilleggsavtale IV - Rammeavtale om teknologisk utvikling Tilleggsavtale V - Avtale om kontrolltiltak i bedriften Børje Furunes 77

72 Dine rettigheter Personopplysningsloven og en rekke andre lover gir en rekke rettigheter i forhold til opplysninger om en selv. Et hovedprinsipp i personopplysningsloven er at man i større grad skal ha kontroll med opplysninger om seg selv. Kontrollen ønsker man å oppnå blant annet ved at den enkelte skal informeres, ved innsynsrett og strenge krav til når personopplysninger skal kunne brukes Børje Furunes 78

73 Norske regler- Lover og forskrifter Personopplysningsloven Personopplysningsforskriften Forskrift om post- og telegramkontroll m.v. Kommunikasjonskontrollforskriften Lov om Schengen informasjonssystem (SIS) Børje Furunes 79

74 Arbeidsmiljøloven 9-1. Vilkår for kontrolltiltak i virksomheten (1) Arbeidsgiver kan bare iverksette kontrolltiltak overfor arbeidstaker når tiltaket har saklig grunn i virksomhetens forhold og det ikke innebærer en uforholdsmessig belastning for arbeidstakeren. (2) Personopplysningsloven gjelder for arbeidsgivers behandling av opplysninger om arbeidstakere i forbindelse med kontrolltiltak med mindre annet er fastsatt i denne eller annen lov Børje Furunes 80

75 Arbeidsmiljøloven 9-1. kontrolltiltak =Vidt spekter av tiltak, ingen nedre grense Vedvarende saklig grunn og avsluttes når behov eller formål begrunnet i tiltaket ikke lengre eksisterer eller betydelig redusert uforholdsmessig belastning for arbeidstakeren= Summen av kontrolltiltak vekt prinsippet (2) Personopplysningsloven gjelder for arbeidsgivers behandling av opplysninger om arbeidstakere i forbindelse med kontrolltiltak med mindre annet er fastsatt i denne eller annen lov Børje Furunes 81

76 Arbeidsmiljøloven kap. 9 Kontroll tiltak i virksomheten Før tiltaket iverksettes skal arbeidsgiver gi de berørte arbeidstakerne informasjon om: Praktiske Konsekvenser Kontrolltiltakets varighet Formålet med tiltaket Børje Furunes 82

77 Arbeidsmiljøloven kap. 9 Kontroll tiltak i virksomheten 9-2 Drøfting, informasjon og evaluering av kontrolltiltak. Nr 1 - Arbeidsgiver plikter å drøfte så tidlig som mulig å drøfte behov, utforming,gjennomføring og vesentlige endringer av kontroll tiltak i virksomhetens med arbeidstakerens tillitsvalgte Evaluering Ikke varige tiltak Børje Furunes 83

78 Innhenting av helseopplysninger ved ansettelse, 9-3 Arbeidsgiver må ikke i utlysningen etter nye arbeidstakere eller på annen måte be om at søkerne skal gi andre helseopplysninger enn dem som er nødvendige for å utføre de arbeidsoppgaver som knytter seg til stillingen Børje Furunes 84

79 Medisinske undersøkelser av arbeidssøkere og arbeidstakere, 9-4 Arbeidsgiver kan bare kreve at medisinske undersøkelser skal foretas: når det følger av lov eller forskrift. ved stillinger som innebærer særlig risiko. når arbeidsgiver finner det nødvendig for å verne liv eller helse Børje Furunes 85

80 Forarbeider for loven Personopplysningsloven Ot prp nr 92 ( ) Om lov om behandling av personopplysninger (personopplysningsloven) NOU 1997:19 Et bedre personvern - forslag til lov om behandling av personopplysninger Innst.O.nr.51 ( ) Innstilling fra justiskomiteen om lov om behandling av personopplysninger (personopplysningsloven) St.prp. nr. 34 ( ) Om samtykke til godkjenning av EØS-komiteens beslutning nr. 83/1999 av 25. juni 1999 om endring av EØS-avtalens protokoll 37 og vedlegg XI (telekommunikasjonstjenester) Helseregisterloven Ot prp nr 5 ( ) Om lov om helseregistre og behandling av helseopplysninger (helseregisterloven) Bransjevise adferdsnormer Vær varsom plakat særlig kap. 4). ForbrukerInspektørene Børje Furunes 86

81 Viktige lover som støtter personvernet Straffeloven Forbud mot ransaking og brevåpning: spesielt , 122, og Privatlivets fred: 147 (annet ledd) og 390. Telefonavlytting: 145a. Hindring av innsynsrett: 146. Falske opplysninger 171 og 173 Arbeidsmiljøloven Arbeidsmiljølovens 4 sier bl.a i punkt 1 følgende (1) Arbeidsmiljøet i virksomheten skal være fullt forsvarlig ut fra en enkeltvis og samlet vurdering av faktorer i arbeidsmiljøet som kan innvirke på arbeidstakernes fysiske og psykiske helse og velferd Krav til det psykososiale arbeidsmiljøet (1) Arbeidet skal legges til rette slik at arbeidstakers integritet og verdighet ivaretas Børje Furunes 87

82 Viktige lover som støtter personvernet Straffeloven & 227 og 390a - Truselen er skikket til at fremkalde alvorlig Frygt, eller som medvirker til saadan trusel - Sjikane: Den som ved skremmende eller plagsom opptreden eller annen hensynsløs atferd krenker en annens fred eller som medvirker hertil straffes med bøter eller fengsel inntil 2 år, se straffelovens 390a. til eks med halshugget bamse Åndsverkslovens & 45c Børje Furunes 88

83 Varsling i arbeidslivet ( whistle-blowing ) Plikt til å tilrettelegge for intern varsling Arbeidsmiljøloven slås det fast at arbeidsgiveren skal legge til rette eller utarbeide rutiner for intern varsling om kritikkverdige forhold i virksomheten. (Arbeidsmiljøloven 3-6) Børje Furunes 89

84 Børje Furunes 91

85 Børje Furunes 92

86 Hva er vi redde for? Børje Furunes 93

87 Ransaking, jur., Tvangsmiddel som består i at en person, en bolig, et romm.m. blir undersøkt for om mulig å finne bevis for et straffbart forhold. Etter Grl. 102 må r. bare finne sted i kriminelle tilfeller. Er som utgangspunkt betinget av rettens beslutning, men er det fare ved opphold, kan beslutningen treffes av påtalemyndigheten, og i visse tilfeller kan politi foreta r. uten slik beslutning. Straffeloven Forbud mot ransaking og brevåpning: spesielt , 122, og Børje Furunes 94

88 Dømt for ulovlig ransaking i Trondheim Tingsretten dømte to politibetjenter for å ha ransaket en leilighet i Trondheim uten tillatelse. De to måtte betale en personlig bot for grov uforstand i tjenesten Børje Furunes 95

89 Ransaking av ansatte Om de ansatte har inngått en avtale med arbeidsgiver om at dette er ok, eller om arbeidstaker har fått informasjon om dette ved ansettelse (f.eks. hvis det er nedfelt i et arbeidsreglement) vil også være et moment ved vurdering om arbeidsgiver kan gjøre dette. Arbeidsgiver må i alle tilfelle ha saklig grunn for å gjøre en slik ransaking av ansatte. Personlig ransaking av klær, kofferter, vesker osv. kan ikke gjøres med hjemmel i krrl. 25. Er det behov for fysisk ransaking må politiet koples inn, og vilkårene i straffeprosessloven 195 være oppfylt (skjellig grunn til mistanke osv.) Børje Furunes 96

90 Andre lover som støtter personvernet forts. Offentlighetsloven Offentlige dokumenter skal være tilgjengelig for almenheten, men det er unntak for bl.a. dokumenter med personopplysninger i offentlighetsloven, 5a og 6. Forvaltningsloven og litt generelt om taushetsplikt I forvaltningsloven 13 gis regler for taushetsplikt når tjenestemenn får kjennskap til personopplysninger. Denne paragrafen får anvendelse på en rekke andre lover: Barnehageloven ( 21), barnevernloven ( 6-7), trygdeloven ( 21-9), kommunehelseloven ( 6-6), politiloven ( 24), sosialloven ( 8-8), skoleloven ( 42),... Taushetsplikt er også gitt i familievernloven ( 5), fengselsloven ( 7), fysioterapiloven ( 8), sykepleierloven ( 11), helsepersonelloven ( 5), jordmorloven ( 6), apotekloven ( 23), postloven ( 13), telekommunikasjonsloven ( 7-7, 9-1 og 9-3), tolloven ( 8), valgloven ( 90), statistikkloven ( 2-4),... Straffeprosessloven, domstolloven, mm I straffeprosessloven 61a hjemles taushetsplikt. Denne har bl.a. anvendelse i politiloven 24. Se også 118, 119, 121, 125, 159, 168, 169, 170, 216i (2. ledd) og 230 i straffeprosessloven. Tilsvarende gjelder for tvistemålsloven 204, 205, 206, 206a, 209a og 284 Domstolloven hjemler taushetsplikt i 218 (3. ledd). Se også 234. Legeloven og tannlegeloven Legelovens 31 og tannlegeloven 31 fastlegger den generelle taushetsplikten. I legeloven, 26 legges det begrensninger i opplysningsplikten til pårørende ved syke barn. Pasientens innsynrett er hjemlet i legeloven 46 og i tannlegeloven 43. Arbeidsmiljøloven Børje Furunes 97

91 Tagged sende meldinger, gi kommentarer, «poste» artikkler, status, søke bilder Børje Furunes 98

92 Bilde fra et julebord? Børje Furunes 100

93 Endringen av det kollektive samtykkes betydning for behandling av personopplysninger

94 Bilder på nett- Åndsverkloven 45c Skille mellom situasjonsbilder (ikke samtykke) og portretter (samtykke). Åndsverkloven 45c Fotografi som avbilder en person kan ikke gjengis eller vises offentlig uten samtykke av den avbildede, unntatt når: a) avbildningen har aktuell og allmenn interesse, b) avbildningen av personen er mindre viktig enn hovedinnholdet i bildet, c) bildet gjengir forsamlinger, folketog i friluft eller forhold eller hendelser som har allmenn interesse, Børje Furunes 102

95 Trådløse soner Google Earth Børje Furunes 103

96 Personopplysningsloven Formål: å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger ( 1) Personopplysning: opplysninger og vurderinger som kan knyttes til en enkeltperson ( 2 nr. 1) Behandling av personopplysninger: enhver bruk av personopplysninger, som f. eks. innsamling, registrering, lagring og utlevering eller en kombinasjon av slike bruksmåter ( 2 nr. 2) Børje Furunes 104

97 Personopplysning Børje Furunes 105

98 Når kan kontrolltiltak iverksettes Må være saklig begrunnet i virksomheten ( 11 b) Må ha et rettslig grunnlag ( 8) Samtykke Lovhjemmel Avtale med den registrerte, rettslig forpliktelse, ivareta den registrertes vitale interesser, allmenn interesse, utøve offentlig myndighet Ivareta en berettiget interesse og hensynet til den enkeltes personvern ikke overstiger denne interessen Børje Furunes 106

99 Samtykke, 2 nr. 7 - frivillig, - uttrykkelig og - informert - erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv. Konkludent adferd er ikke tilstrekkelig Passivitet kan ikke tolkes som et ja Børje Furunes 107

100 Interesseavveiningen etter 8 f Arbeidsgivers berettigede interesse Hensynet til den registrertes personvern Berettiget interesse Børje Furunes 108

101 Mannen i bakgata Børje Furunes 109

102 Personverninteresser og -krav Interessen i å bestemme over opplysninger om egen person -Krav om minimalitet og beskyttelse av identitet Interessen i innsyn og kunnskap -Krav om konfidensialitet -Krav om rettsinformasjon -Krav om beskyttet privatliv -Krav om generelt innsyn -Krav om vern av individets identitetsbilde -Krav om individuelt innsyn -Krav om etablert tillitsforhold -Krav om begrunnelse Interessen i forholdsmessig kontroll -Krav til forholdsmessighet mellom veiledning og kontroll -Krav til forholdsmessighet mellom kontrollgrupper -Krav til forholdsmessighet mellom forhåndskontroll og etterkontroll -Krav til forholdsmessighet mellom kontroll til de registrertes gunst og til deres -ugunst -Krav til forholdsmessighet ekstern og intern kontroll Interessen i brukervennlig behandling -Krav om lydhørhet -Krav om forståelighet -Krav om uhindret dialog -Krav om driftsstabilitet Interessen i personvernanalyse -Krav om konsekvensanalyse -Krav om løpende kontroll -Krav om evaluering Børje Furunes 110

103 Noen ser deg, De vet hva du gjør De hører hva du sier. hver eneste dag Børje Furunes 111

104 Lagring Før kunne man være rimelig sikker på at elektroniske spor ble overskrevet relativt raskt. Men ikke nå Lagringskapasiteten er nå blitt så billig at man ikke lenger uten videre kan regne med at opplysninger forsvinner av seg selv. M0 A&feature=player_embedded

105 Børje Furunes 114

106 ID tyveri - DnB NOR: 439 saker i Totalt tap: 11,6 mill NOK Økning med 95,98% ift Kort borte i posten øker med 30,28% Sparebank 1: 151 saker i felles register i perioden januar - september 2009 Telenor: 1395 mobilabonnement bestilt med falsk ID i 2009, mot 1361 i Totalt tap 8,2 mill NOK i 2008 Troms politidistrikt mottok 13 anmeldelser bare i januar Børje Furunes 116

107 ID tyveri forebygge- Ikke oppgi personlig informasjon til ukjente på telefon, gjennom e-post, eller over Internett med mindre det er du selv som har initiert trafikken. Dersom postkassen din ikke er låsbar, bør du vurdere å sette lås på. Tenk igjennom hvor mye informasjon som flyter gjennom denne kassen. Da vil du raskt se at den vil kunne være et førstevalg for kriminelle som ønsker informasjon om deg Børje Furunes 117

108 ID tyveri forebygge - Unngå å ha informasjon som kan gi tilgang til beskyttelsesverdig informasjon i lommebok eller vesker. Klikk aldri på linker i e-post fra institusjoner du tilsynelatende kjenner for så å legge inn personinformasjon på siden du kommer til; skriv heller inn adressen du kjenner fra før. Ha dine personlige data dine personopplysninger på et sikkert sted Vær oppmerksom på at det går an å reservere seg mot at noen endrer din postadresse via Internett. Kontakt eventuelt Posten om dette. Rive i stykker dokumenter som inneholder personopplysninger, før disse kastes i avfallsdunken Børje Furunes 118

109 Slett meg.no Børje Furunes 119

110 Datatilsynet - Meldingsdatabase h.pl pl?id= pl?id= Børje Furunes 120

111 date Børje Furunes 121

112 Børje Furunes 123

113 Hva er dette? Børje Furunes 124

114 Innsamling og lagring av opplysninger om de ansatte Børje Furunes 125

115 Ved ansettelse - Aml 13-4 Innhenting av opplysninger ved ansettelse - forbudt å spørre om seksuell orientering, politiske spørsmål, fagorganisering - Aml. 9-3 Innhenting av helseopplysninger ved ansettelse - forbudt å be om andre helseopplysninger enn dem som er nødvendige for å utføre de arbeidsoppgaver som knytter seg til stillingen. - Aml Medisinske undersøkelser av arbeidssøkere - Arbeidsgiver må heller ikke iverksette tiltak for å innhente helseopplysninger på annen måte. Samtykke kan ikke oppheve forbud i lov Børje Furunes 128

116 Hva kan (og skal?) arbeidsgiver samle inn Personalia; navn, adresse, fødselsdato Lønnsinformasjon; avtalt lønn, kontonummer, skattekort, bidragsstrekk, Opplysning om nærmeste pårørende; navn og telefonnummer i tilfelle skade eller lignende Opplysning om ansvar for barn og evt. kronisk sykdom for beregning av sykedager Avtaler om lån, hjemmekontor, Helseopplysninger innefor rammen av Aml., særlovgivning og det som er nødvendig for å tilrettelegge arbeidsplassen Vandelsopplysninger KUN dersom lovhjemmel Kredittvurdering KUN ved stillinger med økonomisk ansvar Børje Furunes 129

117 Opplysninger som oppstår underveis i arbeidsforholdet Klager, advarsler, tjenestelige tilrettevisninger og lignende - JA, men hvor lenge? - Opplysning om tid tilbrakt på jobb og hvor du har vært, hentet fra adgangskontrollsystem, overvåkningskamera, gps - hva kan disse opplysningene lovlig brukes til? - Opplysning om telefonbruk, databruk m.m. - hvor går grensen mot ulovlig overvåkning? - Opplysninger om sykdom eller rusmisbruk - hvor langt strekker arbeidsmiljøloven seg? Børje Furunes 130

118 Sensitive personopplysninger 2 nr. 8 uttømmende oppregning Rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning At en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling Helseforhold Seksuelle forhold - NB Medlemskap i fagforening NB! Opplysninger om økonomiske forhold er ikke sensitive. Heller ikke fødselsnummer! Børje Furunes 131

119 Internett Opplysninger om ansatte. Kan publisere opplysninger knyttet til arbeidsforhold som navn, ansvar, tlf, e-postadresse. Må samtykke til bilde Postjournal på Internett,. Kritisk til publisering av postjournal. Mulighet for å utarbeide personprofiler, Dokumenter på Internett. Bør være varsomme med å legge dokumenter knyttet til enkeltpersoner på nett. Menneskelige feil ved føring og teknisk svikt ved publisering kan føre til at personopplysninger blir publisert på nett. Offentlighetsloven skal være et instrument for demokratisk kontroll ikke et instrument for å tilfredsstille den enkeltes nysgjerrighet i forhold til saker andre enkeltpersoner til enhver tid har gående i forskjellige offentlige organer Børje Furunes 133

120 Børje Furunes 134

121 Rett til innsyn i opplysninger hos arbeidsgiver - 18 Enhver har rett til grunninformasjon om behandlingen Hva slags behandling av personopplysninger Navn og adresse på den behandlingsansvarlige Hvem som har daglig ansvar for behandlingene Formålet med behandlingen Hvilke typer personopplysninger som behandles Om eventuell utlevering til andre I tillegg kan den registrete (ansatte) kreve å få vite Hva er registrert om meg? Sikkerhetstiltak? Utdypning av informasjonen som gis til enhver Unntak: 18 siste ledd og 23 NB! Innsynsretten gjelder uavhengig av hvor personopplysningene er lagret Innsynsretten muliggjør ivaretakelsen av de øvrige rettighetene i loven Børje Furunes 135

122 Personalmappe -innsyn Personale: Bare de som arbeider med virksomhetens personalsaker og har saklig behov i sitt arbeid, skal ha adgang til personalmappe (jf. forskriftene til personopplysningsloven kap. IV, 4-16). Arkivpersonale skal ha fått delegert myndighet. Dette gjelder også for eldre bortsatte personalarkiv. Den ansatte som part har rett til innsyn i (ikke utlevering) Egen fysisk mappe - etter offentlighetsloven og personopplysningsloven 18 med de begrensninger som følger av offentlighetloven 19 Hvilke opplysninger som er lagret om den ansatte i elektronisk register (personopplysningsloven 18) Børje Furunes 136

123 Datatilsynet avklarer (1) Innsyn i lønnsopplysninger. Utgangspunkt, lønn er ikke taushetsbelagt opplysning etter forvaltningsloven 13, men personopplysning etter personregisterloven 2 (ikke utlevers uten hjemmel). Dette gir ulike regler for offentlig og privat sektor. Offentlig sektor offentlighetsloven gir innsyn i Lønnsopplysninger om ansatte Forhandlingsprotokoller (lønnsforhandlinger) Privat sektor - Arbeidsgiver har ikke generell adgang til å gi opplysninger om individuell lønn uten samtykke*. Ved lønnsforhandlinger**: Tillitsvalgte kan få tilgang ved å undertegne taushetserklæring Lønn for stillingskategori (gruppenivå 5 eller flere) uten erklæring Børje Furunes 137

124 Datatilsynet (m.m.) avklarer (2) Fødselsnummer Følsom opplysning, ikke sensitiv/taushetsbelagt: Skal ikke brukes på postsendinger, men kan brukes på faktura. Utelates på publisering av dokumenter.* Kan brukes internt dersom nødvendig, eks. som ordningsprinsipp for arkiver (personalmapper). AKAN-opplysninger. Skal kun være tilgjengelig for bedriftshelsetjenesten, AKAN og evt. andre underlagt lovbestemt kompetansekrav/taushetsplikt Bedriftslege. Kan kun gi helseopplysninger til arbeidsgiver dersom skriftlig samtykke fra ansatt Politiattest og vandelsopplysninger. Datatilsynet: Behov for lagring skal vurderes. Men: Attest tilintetgjøres etter å ha vært benyttet til oppgitte formål. ** (AT: Registrering i journal bevis for mottatt attest). Må ha lovhjemmel *** for å motta opplysninger om vandel. Datatilsynet: Søkere som ikke ansettes, attest makuleres/sendes tilbake. * Børje Furunes 138

125 Lagringstid for personopplysninger Utgangspunkt: nødvendig for formålet ( 28) For en del opplysninger innebærer dette lagring i hele ansettelsesperioden og også etter at arbeidsforholdet er avsluttet Regnskapslovgivning, skattelovgivning Bedriftshistorie hvem var ansatt når og i hvilken stilling Adresselister for pensjonistforeningen og andre velferdstiltak med samtykke Rettssaker til rettskraftig avgjørelse om oppsigelse/avskjed foreligger evt. til foreldelse inntreffer Børje Furunes 139

126 Innsyn: Du kan henvende deg til en hvilken som helst virksomhet og få vite hvordan personopplysninger om deg behandles, hvor de er hentet fra. Du kan også kreve å få vite hvem opplysningene vil bli utlevert til. Opplysninger som ikke lenger er nødvendige for formålet skal slettes eller sperres. Det gjelder ikke dersom opplysningene skal oppbevares i henhold til arkivloven eller annen lovgivning. Dersom det er registrert opplysninger som er sterkt belastende, kan du kreve at opplysningene sperres Børje Furunes 141

127 Retting av feil, sletting og sperring Man kan kreve at feilaktige eller mangelfulle opplysninger om en blir rettet I utgangspunktet skal virksomheten av eget tiltak rette mangelfulle eller feilaktige opplysninger. Det er ikke alltid lett for den som behandler store mengder opplysninger å bli klar over at noe mangler eller er feil. Datatilsynet anbefaler derfor at alle bruker innsynsretten aktivt, og gir beskjed til virksomheten om noe er feil Børje Furunes 142

128 Innsyn Informasjon: Når en virksomhet ber om opplysninger, skal du få vite om det er frivillig å svare, hva opplysningene skal brukes til og om de vil bli utlevert. Dersom en virksomhet samler oppysninger fra andre kilder, skal du som hovedregel informeres. Svarfrist: Ber du om informasjon, skal svaret komme innen 30 dager Børje Furunes 143

129 Retting & Sletting Retting - 27 Uriktige, ufullstendige og opplysninger Eget tiltak eller på begjæring Sletting - 28 Opplysninger som ikke lenger enn nødvendig Unntak : lovpålagt lagring Børje Furunes 144

130 Noen ser deg, De vet hva du gjør De hører hva du sier. hver eneste dag Børje Furunes 150

131 Børje Furunes 153

132 Kameraovervåkning Dersom kameraovervåking en ikke er nødvendig, er den heller ikke lovlig. Kameraovervåking skal normalt ikke finne sted dersom problemet kan løses eller risikoen minimeres gjennom alternative tiltak Børje Furunes 154

133 Fjernsynsovervåkning video: Regulert i lovens kapittel 7 og forskriftens kapittel 8 i tillegg må 8,9 og 11 følges vedvarende eller regelmessig gjentatt personovervåkning hvor lenge/hvor mange ganger? Web kamera kan man gjenkjenne enkeltpersoner? fjernbetjent eller automatisk virkende fjernsynskamera eller lignende apparat Fjernsynsovervåkning uten opptak -samtid Videofilming Manuelt betjent fotoapparat eller videokamera faller utenfor Tilleggsvilkår om særskilt behov ved overvåkning av sted der begrenset krets av personer ferdes ( 38) Børje Furunes 155

134 Fjernsynsovervåkning Plikter for den behandlingsansvarlige Varsle om at overvåkning finner sted ( 40) Melding til Datatilsynet ( 37, 2. ledd) Ikke utlevere personopplysninger fra overvåkningen uten lovhjemmel eller samtykke Unntak: utlevering til politiet Oslo politiet dømt Sletting når det ikke lenger er saklig grunn for oppbevaring ( 28) Utg.pkt. 7 dager (POF 8-4) Post og bank 3 mnd. Sikre personopplysningene (POF 8-2 og POL 13 og 14 Konfidensialitet, integritet og tilgjengelighet Børje Furunes 156

135 NÅR ER DET LOV Å OVERVÅKE? Tilbud om overvåkning Børje Furunes 157

136 Kameraovervåking Kameraovervåking av personer som kan gjenkjennes er et inngrep i personvernet. Slik overvåking er derfor lovregulert. Dersom kameraovervåkingen ikke er nødvendig, er den heller ikke lovlig. Kameraovervåking skal normalt ikke finne sted dersom problemet kan løses eller risikoen minimeres gjennom alternative tiltak. Datatilsynet har laget en veileder som gjennomgår når det er lov å overvåke med kamera Børje Furunes 158

137 Utlevering av opptak og varsling om overvåking Utlevering bare skje fra databehandler til behandlingsansvarlige dersom den / de som er avbildet samtykker dersom utleveringsadgangen følger av lov til politiets etterforskning av straffbare handlinger og ulykker, hvis ikke lovbestemt taushetsplikt er til hinder Varsling Skal skje når fjernsynsovervåkingen skjer på offentlig sted hvor en begrenset krets av personer ferdes jevnlig Varselet skal inneholde opplysning om at overvåking skjer hvem som er behandlingsansvarlig for overvåkingen Børje Furunes 159

138 Overvåket med en pizza= Børje Furunes 160

139 Børje Furunes 161

140 Trådløse soner Google Earth Børje Furunes 162

141 Hva er vi redde for? Børje Furunes 163

142 Børje Furunes 164

143 Telefonbruk Børje Furunes 166

144 Telefonbruk Satellittnavigering via GPS( Global positioning System og GPRS Avstand til mobilmaster meter Sammensmelting med GPS mottakere og kart tjenester Hvor er nærmeste Venn, finne bank - automat Spore firmabiler, beveger du eller bilen seg. Med karttjenester kan man se om ansatte f.eks. er på kafé? Børje Furunes 167

145 Telefonkontroll Utgangspunkt: forbudt å avlytte samtaler man ikke selv deltar i (strl. 145) Arbeidsgiver må kunne vise til konkret hjemmel Opplæring - 8 f Bruk til nye uforenelige formål krever samtykke (Pol. 11 c) Husk informasjonsplikten!!! Overvåkning av telefonregninger Børje Furunes 168

146 Telefonbruk Mobilposisjonering Spesifisert regning krever avtale Både detaljregistrering av telefonbruk og opptak av samtaler må meldes inn til Datatilsynet. Tilsynet kan stoppe behandlinger som anses å være i strid med loven Børje Furunes 169

147 Børje Furunes 170

148 Børje Furunes 171

149 Forslag nye regler Formålet med endringene er et forsøk å vekte hensynene til arbeidsgiver og arbeidstaker på en god måte. Straffeloven 145 Fengsel inntil 2 år Børje Furunes 173

150 Konkret foreslår Fornyingsdepartementet med en.veldig klar hovedregel: "Arbeidsgiver har ikke adgang til å gjennomsøke, åpne eller lese e-post i en ansatts personlige e-postkasse. Det samme gjelder for annen elektronisk kommunikasjon og for elektronisk lagrede opplysninger for øvrig. Arbeidsgiver har ikke adgang til å overvåke ansattes bruk av elektronisk utstyr, herunder bruk av Internett." Børje Furunes 174

151 Det gis dog noen konkrete unntak: Arbeidsgiver kan åpne en personlig e- postkasse for å sortere ut og lese virksomhetsrelatert e-post dersom: a) den ansatte er fraværende i mer enn tre arbeidsdager, b) den ansatte på tross av skriftlig pålegg ikke har sørget for videresending av e-post eller svar med opplysning om hvor virksomhetsrelatert e-post skal sendes og heller ikke på annen måte har gitt arbeidsgiver adgang til opplysningene og Børje Furunes 175

152 Nytt lov forslag Det gis dog noen konkrete unntak: c) det er god grunn til å tro at det er innkommet virksomhetsrelatert e-post og at behandlingen av denne av hensyn til virksomhetens drift ikke kan vente. Arbeidsgiver vil også kunne gjennomføre søk dersom det kan dokumenteres at det er mistanke om straffbart innhold (f.eks. barneporno), e-post i forbindelse med straffbar handlinger eller grove brudd på forhold rundt ansettelsen Børje Furunes 176

153 Forslaget i korte trekk Utg. pkt.: Arbeidsgiver skal ikke gjøre innsyn i ansattes e-post Klare unntak for: Innsyn ved fravær Innsyn ved mistanke om straffbare forhold og illojalitet Innsyn ved arbeidsforholdets opphør Bestemmelsen kan i noen tilfeller fravikes gjennom instruks for bruk av e-post m.m. MEN: går bort fra samtykke som behandlingsgrunnlag OG: åpner for gebyr som alternativ til politianmeldelse ved brudd på bestemmelsene HKs høringssvar Børje Furunes 177

154 E-post kan knyttes til enkelt personer -Innholdet -opplysninger i systemet om avsender og mottaker Rt s Juridisk@virksomhet.no Ola.Normann@hotmail.no Ansatt@virksomhet.no Børje Furunes 180

155 Hvis e-posten ikke skal brukes privat. Gir det rett til innsyn? Med ansattes private e-post menes den e-post kontoen ansatte har tilgjenglig i sitt arbeid (peder.aas@bedriften.no) E-posten er ikke privat, men bruken kan være privat Privat e-post er e-post konti den ansatte har tilgang til utenfor arbeidsgivers kontroll (peder.aas@frisurf.no) Selv om det er bestemt at e-post systemet ikke kan benyttes til private formål, kan det ikke uten videre kreves innsyn i ansattes e-post Børje Furunes 182

156 Når har arbeidsgiver rett til innsyn? Må ha et grunnlag ( 8) Lovens utgangspunkt samtykke eller lovhjemmel Ivareta en berettiget interesse, som ikke overstiger hensynet til personens personvern ( 8f) Være saklig begrunnet i virksomheten ( 11 b) Skille mellom bedriftsrelatert e-post & privat e-post Børje Furunes 183

157 Innsyn i bedriftsrelatert e-post Meldinger sendt eller mottatt i forbindelse med utføring av arbeidsoppgaver, vil arbeidsgiver ha en berettiget interesse av å ha innsyn i Ulempen med innsyn (personverntrusselen) for de ansatte vil ikke være stor fordi det som leses har sammenheng med arbeidsoppgavene Arbeidsgiver kan derfor ha en berettiget interesse i innsyn i ansattes e-post knyttet til arbeidet ( 8 f) Innsyn i bedriftens post må anses som saklig begrunnet for arbeidsgivers virksomhet ( 11 b) Børje Furunes 184

158 Virksomhetsrelatert privat e-post Virksomhetsrelatert meldinger tilknyttet den ansattes oppgaver Privat meldinger som gir inntrykk av og være private Momenter av betydning Plasseringen av meldingen Merket privat? Avsender/mottaker adressen Emnelinjen NB! E-post til og fra den tillitsvalgte i anledning vervet som tillitsvalgt behandles som privat e-post Lurt å opprette egen adresse for dette Børje Furunes 185

159 Utgangspunkter Opplysningene i e-post systemet kan knyttes til enkelt personer; personopplysninger ( 2 nr1) Enhver bruk av opplysninger fra e-post systemet må skje etter personopplysningsloven Sikkerhetsforskriften pålegger bedriften å føre oversikt over hva slags opplysninger som behandles, og at systemet bare brukes til pålagte oppgaver ( 2-4, 2-8) Styringsretten gir arbeidsgiveren rett til å bestemme hva e-posten kan brukes til, også at den ikke skal benyttes til private formål Børje Furunes 190

160 Informasjon Innsyn i bedriftsrelatert e-post forutsetter at ansatte er informert om at dette kan forekomme. Informasjonsplikten ( 19) kan oppfylles som en del av arbeidsavtalen Er det ønskelig med innsyn, og det ikke er informert om at dette kan skje, må det innhentes samtykke. Ansatte har da en forventning om diskresjon Informasjon til avsender, anses uforholdsmessig vanskelig og er unntatt ( 20 b) Børje Furunes 191

161 Innsyn i privat e-post... Arbeidsgiver vil nok mene at det foreligger en berettiget interesse i å ha innsyn all e-post til den ansatte Innsyn kan krenke den ansattes kontroll med opplysninger om seg selv, og privatlivets fred Arbeidsgiver har derfor ikke rett til innsyn i den ansattes private e-post. Innsyn må eventuelt være basert på et samtykke fra den ansatte ( 8, jf 2 nr7) Innsyn i privatpost vil ikke anses som saklig begrunnet for arbeidsgivers virksomhet ( 11 b) Børje Furunes 192

162 Hva er bedriftsrelatert? Vurderes konkret - momenter: Er mottaker/avsender adressen en forretningsforbindelse? NB: Eventuell beskrivelse i emnelinjen Privat- Er det etter dette ikke avklart bør i utgangspunktet meldingen ikke leses. Bør klargjøres på forhånd for den ansatte hva som anses som bedriftsrelatert e-post, og når innsyn kan være aktuelt Børje Furunes 193

163 Før ønsket om innsyn oppstår Arbeidsgivers styringsrett og posisjon som eier av utstyret kan bestemme hvordan virksomhetens utstyr skal benyttes Instruks Må ikke gå lenger enn tillatt etter personopplysningsloven - formidles til alle de ansatte - revideres ved behov Børje Furunes 194

164 Når ønsket om innsyn er oppstått Har virksomheten laget retningslinjer? JA => følg dem Nei => interesseavveining etter 8 f Alternative metoder Virksomhetsrelatert Saklig begrunnet Ivaretar en berettiget interesse Hensynet til den ansatte Forutsetter informasjon på forhånd Privat Utgangspunkt: ikke saklig begrunnet Slettet e-post Behandles som privat e-post Børje Furunes 196

165 Velg en metode som kan etterprøves: Beskriv skriftlig begrunnelsen for innsyn La den ansatte være tilstede ved innsynet Benytt vitner f. eks. tillitsvalgte eller verneombud Beskriv valgt metode f. eks. søkeord Beskriv hvilke meldinger som er åpnet Beskriv resultatet av innsynet Hvis data skal benyttes som bevis: bruk profesjonelle Børje Furunes 197

166 Når innsyn er gjennomført Lukk alle åpnede e-poster Slett alle utskrifter og kopier av opplysninger dersom det ikke foreligger saklig grunn for fortsatt lagring NB! Utlevering av de innsamlede opplysningene er en selvstendig behandling som må oppfylle vilkårene i personopplysningsloven Børje Furunes 198

167 Når arbeidsforholdet avsluttes Ansatte slutter: E-postkontoen skal slettes med mindre annet er avtalt NB! Melding om ny kontakt => aktiv konto Den ansatte bør: slette eventuelle private meldinger overføre eller arkivere virksomhetsrelatert e-post etter avtale med ledelsen gi beskjed til sine kontakter om eventuell ny adresse for privat og virksomhetsrelatert e-post Ansatte dør Saklig grunn for å sortere ut eventuelle virksomhetsrelaterte e-post Ingen selvfølge at pårørende skal få innsyn Dødsboet trer inn i økonomiske forpliktelser og innsyn må vurderes konkret i forhold til dette Børje Furunes 199

168 Trådløse soner Google Earth Børje Furunes 200

169 Eksempel fra Norsk Hydro Den ansatte er fraværende - samtykke gis Program Management Support Reglene under gjelder når: den ansatte har godkjent tilgangen før selve fraværet i tilfeller hvor han/hun blir kontaktet f.eks. via telefon eller mail når han/hun er fraværende når personen er sluttet. a. På bakgrunn av henvendelse fra fra arbeidsgiver vurderer den ansatte forespørselen. Et samtykke skal være frivillig. b. Den ansatte gir beskjed til lokalt service senter (mail, telefon, o.l.). Følgende skal fremkomme i melding til lokalt service senter: hvem som skal få tilgang i hvilke tidsrom vedk. skal gis tilgang c. På bakgrunn av beskjed fra den ansatte gir lokalt service tilgang. Tilgangen skal loggføres og følges opp Børje Furunes 201

170 Eksempel fra Norsk Hydro Program Management Support Praksis når det gjelder e-post Hovedregel Arbeidsgiveren har ikke adgang til å lese e-post den ansatte mottar uten at denne har gitt sitt samtykket. Samtykke skal være frivillig Dersom den ansatte ikke gir sitt samtykke avsluttes saksbehandling Børje Furunes 202

171 Eksempel fra Norsk Hydro Program Management Support Den ansatte er fraværende - intet samtykke Den ansatte kan ikke nås Arbeidsgiveren har ikke adgang til å lese ansattes e-post Ved dødsfall Nærmeste overordnede og en datatillitsvalgt (evt. en kollega) gis tilgang. Private meldinger skal ikke leses Børje Furunes 203

172 Anbefalninger.. Lag retningslinjer for bruk av e-post Insyn bør begrenses og baseres på samtykke Mistenker man at e-post er sendt i strid med retningslinjer, kan den slettes. Forutsetningen er at de ansatte er informert om at dette er konsekvensen Ved arbeidsforholdets slutt bør kontoen slettes. Melding kan sendes avsender om at posten kan sendes en annen Avtales mellom arbeidsgiver og tillitsvalgte hvordan eventuelle brudd skal løses Børje Furunes 204

173 Børje Furunes 205

174 Ad Voldtatt for 14 år siden Børje Furunes 206

175 Hvordan kan nettet overvåkes? Det som skjer i et edb-system registreres som hendelser eller aktivitetslogger; (hvem har gjort hva til hvilket tidspunkt) Typisk være: Pålogging hvem har sendt e-post til hvem Hvilke Internettsider har vært besøkt Lastet ned store filer Forsøk på uautorisert bruk Eier av systemet kan ut fra sårbarheten bestemme hva som skal logges. Kan i utgangspunktet logge alt Børje Furunes 207

176 Viktige for driften & informasjonssikkerheten Benyttes til administrasjon; Ressursene i systemet benyttes optimalt Benyttes til sikkerhet; Overvåke at store filer som krever mye ressurser i systemet ikke forårsaker at systemet kollapser. Men også at det ikke skjer uautorisert bruk Brudd på sikkerheten kan medføre store tap. Både for bedriften og de som er registrert Børje Furunes 208

177 Har arbeidsgiver lov til å overvåke? Må ha et grunnlag ( 8) Lovens utgangspunkt samtykke eller lovhjemmel Ivareta en berettiget interesse, som ikke overstiger hensynet til personens personvern ( 8f) Bruk som nevnt ivaretar en berettiget interesse, som er større enn hensynet til den enkeltes personvern Saklig begrunnet i virksomheten ( 11 b) Utgangspunktet meldepliktig, men formål som nevnt er unntatt i (forskriftens 7-11) Børje Furunes 209

178 Kan de ansatte overvåkes? Sikkerhetsforskriften pålegger at systemet benyttes til pålagte oppgaver. Retningslinjer om bruk må utarbeides, disse må være kjent for de ansatte Arbeidsgiver vil ha interesse av å kontrollere om den ansatte følger retningslinjene. En slik kontroll kan føles krenkende for den ansattes integritet og privatlivets fred. Stilles strengere krav En slik bruk av loggene vil kreve samtykke og er meldepliktig Børje Furunes 210

179 Lese Internett-logger Datatilsynet mener datasjefer har lov å bla i logger for å planlegge kapasitetsbehov eller løse problemer. Men ser han at du ofte er inne på og sannsynligvis leter etter ny jobb, har han ikke lov å varsle ledelsen. Ledelsen har ikke adgang til å lete i Internett-logger, verken på din PC eller bedriftens servere. Det er ikke lov å sjekke om ansatte bruker Internett til private formål, uansett om nettstedet heter Playboy eller Jobshop. Dette gjelder alle selskaper i Norge, uansett eierforhold og moderselskaper i andre land Børje Furunes 211

180 Meldeplikt eller konsesjonsplikt? Utgangspunktet meldeplikt Personopplysningsloven 31 Sensitive opplysninger utløser konsesjonsplikt Personopplysningsloven 33 Unntak: Forskriften Forskriften Børje Furunes 212

181 Meld ifra til Datatilsynet og HK.. Arbeidsgiverens behandling av personopplysninger er unntatt melde/- og konsesjonsplikt under visse forutsetninger. (Forskrift til personopplysningsloven, 7-16.) Det er derfor viktig at de ansatte selv sier ifra til Datatilsynet/HK hvis arbeidsgiveren bruker personopplysninger på en måte som føles krenkende Børje Furunes 213

182 Børje Furunes 214

183 Google logger en rekke opplysninger Google logger en rekke opplysninger i forbindelse med søk. Tidspunkt, IP-adresse, søkeord og en rekke andre opplysninger blir alt lagret i Googles arkiv. På sikt vil dette kunne utnyttes til å finne ut mye om den enkelte nettbruker. For eksempel også til å skreddersy svært spesifikke reklamekampanjer for annonsører. Datatilsynet besøkte det Norske Google kontoret nå på tirsdag og ønsker å vite hvorfor søkemotoren logger en rekke opplysninger i forbindelse med søk Google en arbeidstaker er svært normalt! Børje Furunes 215

184 Blåser i personvernloven Én av tre bedrifter sier at det ikke er aktuelt for dem å ha systematisk oversikt over hvilke personopplysninger som behandles av virksomheten. Det kommer frem i en spørreundersøkelse gjennomført blant 424 norske private og offentlige bedrifter. TNS Gallup har utført undersøkelsen på oppdrag fra Transportøkonomisk Institutt (TØI) Børje Furunes 216

185 Grunnkrav til behandlingen POL 11 Opplysningene må Kun brukes til uttrykkelig angitte formål Ikke brukes til formål som er uforenelig med det opprinnelige formålet Være tilstrekkelige og relevante Være korrekte og oppdaterte Ikke oppbevares lenger enn nødvendig Ha behandlingsgrunnlag i 8 og 9 NB! Arbeidsgiver vil nesten uten unntak behandle sensitive opplysninger (jf. 2 nr. 8) om sine ansatte Børje Furunes 217

186 Vilkår for å behandle personopplysninger Personopplysningslovens 8 særlig Samtykke Lovhjemmel - a. Oppfylle avtale med den registrerte (arbeidsavtalen) - f. Interesseavveining - Personopplysningslovens 9 særlig a. Samtykke b. Lovhjemmel c. f. Nødvendig for gjennomføring av arbeidsrettslige plikter eller rettigheter Børje Furunes 218

187 Adgangskontroll Behandlingsgrunnlag 8f) Brukes det til annet enn å ivareta interne sikkerhetsmessige forhold må det innhentes samtykke Bedriftens system for tidsregistrering kan bruke samme leser og system, men kobling krever samtykke Begrenset adgang til å benytte fingeravtrykk og lignende ( 12) Rema Børje Furunes 219

188 Aktivitetslogger registreringer av hvem som har gjort hva til hvilket tidspunkt etc. hjemmel i POL 13 med forskrifter skal oppbevares i tre måneder (POF 2-16) skal ikke benyttes til kontroll eller overvåkning av enkeltpersoner (POF 7-11) Innsyn i logger følger samme regler som innsyn i e-post Børje Furunes 220

189 Helseopplysninger og rusmiddelkontroll Det kan ikke gis samtykke utover de tilfeller som positivt er hjemlet i Aml. NB! Helseopplysninger = sensitive opplysninger jf. 2 nr. 8 => man må ha behandlingsgrunnlag i 8 OG i 9 PVN vedtak : Securitas har ikke adgang til kontroll av samtlige ansatte ved skjellig grunn til mistanke om misbruk (PVN ) Børje Furunes 221

190 Retting & Sletting Retting - 27 Uriktige, ufullstendige og opplysninger Eget tiltak eller på begjæring Sletting - 28 Opplysninger som ikke lenger enn nødvendig Unntak : lovpålagt lagring Børje Furunes 222

191 Oppsummering Kontrolltiltak skal drøftes med de tillitsvalgte Samtykke bør benyttes med forsiktighet i arbeidslivet Lovhjemmel er å foretrekke Interesseavveiningen etter 8 f skal være konkret Lagringstiden avhenger av formålet Informasjon til de ansatte er grunnleggende Børje Furunes 223

192 Informasjonsplikt 19 og 20 Før det samles inn opplysninger fra den registrerte selv typisk fra den ansattes e-postkasse Når det er samlet inn opplysninger fra andre innhenting fra IT-ansvarlig eller fra systemet som sådan??? Uansett: Samtykke ved bruk som er uforenelig med det opprinnelige formålet jf. 11 c typisk bruk av informasjon i logger i oppsigelsessak Og: Et samtykke er bare gyldig dersom det er informert NB! Unntak i 20 og Børje Furunes 224

193 HK og Datatilsynet anbefaler Arbeidsgiver: Lag instruks for databruk Involver de ansatte og tillitsvalgte i prosessen Sørg for etterprøvbarhet ved eventuelt innsyn Opprett egen e-post adresse for tillitsvalgte osv Ansatt: Unngå privat bruk av arbeidsgivers utstyr Merk mapper og filer med privat innhold Følg arbeidsgivers instruks for bruk av utstyret Børje Furunes 225

194 E -post mer Det er ikke anledning til å bestemme at all e-post eller annen elektronisk kommunikasjon som mottas med virksomhetens elektroniske utstyr skal anses som virksomhetsrelatert. Videre foreslår departementet at verneombudet eller en annen representant for den ansatte skal være tilstede ved innsyn. Brudd på loven vil føre kunne straffes med bøter eller fengsel inntil ett år eller begge deler Børje Furunes 226

195 Hjemmelsgrunnlag Personopplysningsloven Samtykke, 8 og 9. Arbeidsrettslige plikter, 9 f.) Interesseavveining, 8, f.) Oppfyllelse av avtale, 8 a.) Formell lov Arbeidsmiljøloven Straffeloven Børje Furunes 227

196 8. Vilkår for å behandle personopplysninger Personopplysninger (jf. 2 nr. 1) kan bare behandles dersom den registrerte har samtykket, eller det er fastsatt i lov at det er adgang til slik behandling, eller behandlingen er nødvendig for f) at den behandlingsansvarlige eller tredjepersoner som opplysningene utleveres til kan vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen. 9. Behandling av sensitive personopplysninger Sensitive personopplysninger (jf. 2 nr. 8) kan bare behandles dersom behandlingen oppfyller et av vilkårene i 8 f) behandlingen er nødvendig for at den behandlings ansvarlige kan gjennomføre sine Børje Furunes 228

197 - Krav til frivillig samtykke Personopplysningsloven stiller krav til samtykke. Den som skal registreres må få tilstrekkelig informasjon til å forstå hva samtykket gjelder og hvilke konsekvenser det kan få. Informasjonen til den registrerte skal minst omfatte: navn og adresse på den behandlingsansvarlige hva opplysningene skal brukes til om opplysningene vil bli utlevert til andre, og eventuelt hvem som er mottaker om det er frivillig å gi fra seg opplysningene informasjon som gjør den registrerte i stand til å bruke sine rettigheter etter personopplysningsloven på best mulig måte, som f.eks. om retten til å kreve innsyn, retting og sletting hvor lenge personopplysningene vil bli behandlet eller oppbevart Børje Furunes 229

198 Avgjørelser Klage på pålegg om opphør av fjernsynsovervåkning m.v. Sak nr 2002/05: Klage på pålegg om opphør av fjernsynsovervåkning m.v. - Raddison SAS Plaza Hotell. Fjernsynsovervåkning av bar vil lett kunne bli ansett som krenkende i forhold til gjestenes ønske om diskresjon. Det nødvendige sikkerhetsbehov skulle være ivaretatt ved at baren er betjent. Monitorering av svømmebasseng/treningsrom ble funnet akseptabelt, men ikke opptak. Klagen ble derfor ikke tatt til følge Børje Furunes 230

199 Klage på Datatilsynets avslag om forlenget lagring av billedopptak Sak nr. 2002/02: Avslag på søknad om dispensasjon om forlenget lagring av billedopptak - Posten Norge BA. Opptak ved minibank plassert direkte utenfor banklokaler. Avslaget omgjort, blant annet under henvisning til at overvåkingen også representerte økt sikkerhet for brukerne av minibanken. Sak nr. 2002/01: Avslag på søknad om dispensasjon om forlenget lagring av billedopptak - A-møbler AS. Spørsmål om lagring av videoopptak ved kasse med sikte på sikring av bevis ved misbruk av kredittkort mv. Avslaget opprettholdt Børje Furunes 231

200 Linker Personopplysningsloven [Lovdata] - [engelsk] Forskrift om overføring av ansvarsområder. Del av myndighet [Lovdata] Personopplysningsforskriften [Lovdata] Forskrift om post- og telegramkontroll m.v. [Lovdata] Kommunikasjonskontrollforskriften [Lovdata] Helseregisterloven[Lovdata] Lov om Schengen informasjonssystem (SIS). (Lovdata)[Lovdata] Børje Furunes 232

201 Flere Linker direktiv EU-direktivet om personvern (95/46/EC) - [norsk] - [dansk] - [engelsk] EU-direktivet om beskyttelse av personopplysninger innen telekommunikasjonssektoren (97/66/EC)- [dansk] EU-direktivet om beskyttelse av personopplysninger innen telekommunikasjonssektoren (97/66/EC) - [engelsk] EU-direktivet om beskyttelse av personopplysninger og elektronisk kommunikasjon (2002/58/EF) - [ dansk] - [ engelsk] Børje Furunes 233

202 Andre linker Retningslinjer om personopplysningsvern Schengenavtalen - [engelsk] - [norsk*] Verdenserklæringen om menneskerettighetene av 1948 artikkel 12 FN-konvensjonen om sivile og politiske rettigheter av 1966 artikkel 17 Den europeiske menneskerettskonvensjon av 1950 artikkel 8 Traktaten om europeisk union av 1992, tittel 1, artikkel F(1) og (2) EUs charter om grunnleggende rettigheter (Charter of Fundamental Rights) av 2000 artikkel 7 og Børje Furunes 234

203 Hvor kan jeg kreve generelt innsyn? Du kan kreve innsyn hos alle organisasjoner, enten de er offentlige eller private. I prinsippet kan du med andre ord spørre i en hvilken som helst bedrift, organisasjon, i statlig eller kommunal forvaltning m.v. Du kan enten henvende deg til hovedkontoret eller til noen som behandler personopplysninger i henhold til avtale med hovedkontoret, for eksempel i en datasentral. Du har neppe rett til å få informasjonen direkte fra et lokalkontor/filial e.l., men det er trolig grunnlag for å kreve at disse skal formidle kravet om innsyn videre til hovedkontoret eller til en datasentral e.l. som behandler personopplysninger for dem. Du kan ikke kreve innsyn i hvorledes enkeltpersoner behandler personopplysninger for private og personlige formål. Retten til innsyn er heller ikke aktuell når opplysningene behandles for å bli brukt innen journalistikk og annen opinionsdannende virksomhet, eller som ledd i kunstnerisk eller litterær virksomhet Børje Furunes 235

204 Personverninteresser (og -krav) Jf aml 9-1! Interessen i forholdsmessig kontroll Interessen i selvbestemmelse Personvern: personlig integritet privatlivets fred opplysningskvalitet (pol 1) Interessen i innsyn og kunnskap Interessen i brukervennlig behandling Interessen i opplysnings- og behandlingskvalitet Børje Furunes 236

205 Datatilsynet Uavhengig forvaltningsorgan Etablert i 1980 Kan ikke instrueres av Kongen eller departementet Administrativt underlagt FAD Direktør Georg Apenes 33 medarbeidere - Fire avdelinger Juridisk Tilsyns- og sikkerhet Informasjon Administrasjon Håndhever personopplysningsloven, helseregisterloven og SIS-loven Saksbehandling Tilsyn/kontroll Veiledning/informasjon Børje Furunes 237

206 Hvorfor kommer Datatilsynet på kontroll Lovpålagt oppgave Mindre konsesjon mer etterhåndskontroll Tips om brudd på personopplysningsloven eller helseregisterloven Avisoppslag Tips fra tillitsvalgte, enkeltpersoner Strategiske valg Bransjer hvor personverntrusselen er særlig stor avdekke feil Bransjer tilsynet kjenner dårlig - kartleggingstilsyn Børje Furunes 238

207 Forskjellige typer kontroller Brevkontroll Masseutsendelser Datatilsynet ber om redegjørelse Stedlig kontroll Varslede Uvarslede Forenklede kontroller Kameraovervåkning Børje Furunes 239

208 Hjemmelsgrunnlag for kontroll Datatilsynet skal kontrollere at lover og forskrifter som gjelder for behandling av personopplysninger blir fulgt, og at feil eller mangler blir rettet ( 42, tredje ledd, 3) Datatilsynet kan kreve Opplysninger Adgang til steder hvor det finnes personregistre, overvåkningsutstyr, Å få gjennomføre nødvendige prøver og kontroller Bistand fra personalet ( 44) Datatilsynet har taushetsplikt ( 45) Børje Furunes 240

209 Gjennomføringen av stedlig kontroll - 1 Forhåndsvarsel jf. fvl. 16 muntlig skriftlig angir hjemmel og formål Fremgangsmåte ved granskning jf. fvl. 15 Legitimering Angi hjemmel og formål Rett til vitne Protokoll Klageadgang Børje Furunes 241

210 Gjennomføringen av stedlig kontroll - 2 Gjennomgang av de juridiske problemstillinger med ledelsen tilstede diskusjon og veiledning Verifikasjon samtaler med tilfeldige ansatte stikkprøver i registre og datamaskiner samtaler med tilfeldige kunder/brukere Avsluttende møte oppsummering av funn foreløpige konklusjoner Børje Furunes 242

211 Etter kontrollen Faktumgrunnlag oversendes til gjennomsyn Oppfylle retten til kontradiksjon jf. fvl. 17 Rapport og eventuelt varsel om vedtak Oppfylle kravet om forhåndsvarsel i fvl. 16 Eventuelt pålegg Lukking av avvik saken avsluttes Pålegg kan påklages til personvernnemnda Børje Furunes 243

212 Datatilsynet kan gi pålegg om opphør av behandling av personopplysninger ( 46) stille vilkår for behandling av personopplysninger ( 46) pålegge bruk av fødselsnummer ( 12) pålegge retting og sletting av personopplysninger ( 27 og 28) I tillegg kan Datatilsynet ilegge tvangsmulkt ( 47) hvis pålegg ikke blir fulgt dagbøter løper ikke før klagefristen er ute og ikke under evt. behandling i PVN inngi anmeldelse til politiet ( 48) ikke alle brudd på personopplysningsloven er straffsanksjonert benyttes bare dersom bruddet på personopplysningsloven anses som grovt Børje Furunes 244

213 Oppsummering Kontroll er et virkemiddel i arbeidet med å gi enhver et bedre personvern Datatilsynets innfallsvinkel er at kontrollen skal oppleves som positiv for alle parter som er involvert Det er svært sjelden at virkemidler som tvangsmulkt og anmeldelse tas i bruk Børje Furunes 245

214 Arbeidsmiljøloven kap. 9 Kontroll tiltak i virksomheten Uten særskilte regler for e-post. Arbeidsgiver kan bare iverksette tiltak ovenfor arbeidstaker når tiltaket har en saklig grunn i virksomhetens forhold og at det ikke innebærer en uforholdsmessig belastning for arbeidstakeren Pol gjelder hvis ikke hjemlet i annen lov Børje Furunes 246

215 Børje Furunes 247

216 Cookies Cookies er små filer som skrives til harddiskennår man besøker en webside Legitim bruk av cookies er registrering av informasjon for framtidig bruk feks sider som bruker handlekurver: shopping carts Mindre akseptabel bruk er reklamefirmaer som logger en brukers nettsurfing og legger reklame på websider brukeren kommer til å besøke Børje Furunes 248

217 Eksempler på Cookies Børje Furunes 249

218 Global Unique Identifiers (GUIDs) GUID er en unik identifikator som genereres av hardware eller et program Brukes til å sende infromasjon tilbake til seiden som opprettet GUID en Børje Furunes 250