Arbeidsgivers adgang til å behandle personopplysninger om egne ansatte etter den nye personvernforordningen

Transkript

1 Arbeidsgivers adgang til å behandle personopplysninger om egne ansatte etter den nye personvernforordningen -Samtykke og andre behandlingsgrunnlag Kandidatnummer: 529 Leveringsfrist: Antall ord:

2 Innholdsfortegnelse 1 INNLEDNING Tema for oppgaven og problemstilling Rettskildebildet Dagens rettskildebilde Rettskildebildet etter personvernforordningen Avgrensinger Begrepspresiseringer Personopplysninger og behandling av personopplysninger Behandlingsansvarlig og den registrerte Den videre disposisjon GRUNNLAG FOR Å BEHANDLE PERSONOPPLYSNINGER ETTER DAGENS REGELVERK Innledning Hovedregel om behandlingsgrunnlag i personopplysningsloven Behandlingsgrunnlag i ansettelsesforhold Lovgrunnlaget Den enkelte arbeidstakers samtykke Nødvendig behandling av personopplysninger Rangering av behandlingsgrunnlag GRUNNLAG FOR Å BEHANDLE PERSONOPPLYSNINGER ETTER EUS PERSONVERNFORORDNING Innledning Introduksjon av EUs personvernforordning Hovedregel om behandlingsgrunnlag i personvernforordningen Behandlingsgrunnlag i ansettelsesforhold Hjemmel i lov Den enkeltes arbeidstakers samtykke Nødvendig behandling av personopplysninger RETTSPOLITISKE BETRAKTNINGER Generelle betraktninger Betydningen for arbeidsgiver og veien videre SAMMENFATNING i

3 6 LITTERATURLISTE ii

4 1 Innledning 1.1 Tema for oppgaven og problemstilling I hverdagslivet slik som i arbeidslivet er det en økning i registrering og lagring av informasjon. Slik informasjon omfatter også personopplysninger. Informasjonsteknologien har utviklet seg grunnet digitaliseringen som preger dagens samfunn, og det blir stadig lettere å samle inn personopplysninger. Dette gir personvernutfordringer i samfunnet generelt, men også på arbeidsplassen. 1 Enhver arbeidsgiver 2 må gjennom hele ansettelsesforholdet forholde seg til behandling av personopplysninger. Allerede før en eventuell ansettelse er arbeidsgiver nødt til å hente inn opplysninger bundet til søknad, CV, og intervju angående den enkeltperson som søker. Denne rekruttering og utvelgelsesfasen skal hjelpe arbeidsgiver i å velge den beste kandidaten for den aktuelle stillingen. 3 For en allerede ansatt kan personopplysninger blir brukt i sammenheng med arbeidsfordelinger, opprykninger, avskjeder, oppsigelser og for utbetaling av lønn. En arbeidsgiver vil av den grunn være nødt til å behandle personopplysninger om arbeidstaker 4 for å holde i gang virksomheten. Personopplysningsloven 5 sammen med personopplysningsforskriften 6 gir regler om hvordan behandling av personopplysninger skal foregå. Personopplysningsloven tar sikte på å beskytte arbeidstakere mot situasjoner som kan krenke deres personvern, jf. formålsbestemmelsen i 1(1). Lovgivningen setter dermed begrensninger for arbeidsgivers behandling av personopplysninger. Arbeidsgivers innhenting av personopplysninger må veies opp mot eventuelle arbeidstakere sitt personvern. 7 EU vedtok 27. april 2016 en ny personvernforordning: General Data Protection Regulation 8 som skal erstatte EUs personverndirektiv 9. EUs personverndirektiv er blitt utdatert på visse 1 NOU 2009:1 s Arbeidsmiljøloven (heretter aml.) 1-8 nr Kjølaas (2010) s Arbeidsmiljøloven (heretter aml.) 1-8 nr Lov 14. April 2000 nr. 31 om behandling av personopplysninger(personopplysningsloven - heretter popplyl.). 6 Forskrift 15. Desember 2000 nr om behandling av personopplysninger (personopplysningsforskriften). 7 Kjølaas (2010) s Europa-parlamentets og rådets forordning 2016/679 av 27. April 2016 om beskyttelse av individer ved behandling av personopplysninger og om fri flyt av slike opplysninger (General Data Protection Regulation heretter personvernforordningen). 9 Europa-parlamentets og Rådets direktiv 95/46/EF av 24. oktober 1995 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personverndirektivet). 1

5 felt, idet det har skjedd en rask utvikling av ny teknologi de siste 20 årene etter iverksettelsen som har ført til nye utfordringer. 10 Den enkeltes arbeidstakers rett til personvern og privatliv 11 i dagens digitaliserte samfunn må derfor ivaretas på en bedre måte. Gjennom en iverksettelse av forordning ønsker man å oppnå nettopp dette. 12 En ny personvernforordning fører med seg betydelige forandringer i dagens personvernlovgivning. Et av formålene med forordningen er å gi den enkelte bedre beskyttelse, ved at personopplysninger skal bli sikret i større grad enn tidligere. 13 Dette har ført til at det nå stilles strengere krav for arbeidsgivers behandling av personopplysninger. Hva slags utfordringer arbeidsgivere står ovenfor ved behandling av personopplysninger om egne ansatte etter de nye reglene er av et udekket og praktisk tema som har vært gjenstand for mye debatt. I en artikkel fra dagens næringsliv presenteres en undersøkelse foretatt av IT-selskapet Atea. Her deltok 611 virksomhetsledere, hvor det kom det frem at hele åtte av ti ledere ikke vet hva en ny personvernregulering innebærer. 14 Dette viser at det er stor mangel på kunnskap om den nye personvernforordningen. Mange arbeidsgivere er uvitende om de konsekvenser forordningen kan innebære for behandling av personopplysninger. Oppgavens tema er av den grunn svært aktuell. Jeg vil i denne oppgaven undersøke hvilke følger EUs personvernforordning får for norske arbeidsgiveres rett til å behandle personopplysninger om egne ansatte. Norge stiller et relativt strengt vern for den enkelte borger, i forhold til minstekravene som fremgår av direktivet. Spørsmålet er om de nye reglene om behandlingsgrunnlag som følger av EUs personvernforordning stiller et strengere krav til arbeidsgivers behandlingsgrunnlag enn det som er tilfellet per i dag. Hovedproblemstillingen oppgaven reiser er derfor: Hvilke konsekvenser får GDPR for arbeidsgivers grunnlag til å behandle personopplysninger om arbeidstaker. Underveis vil oppgaven svare på følgende problemstillinger: Hvordan fungerer kravet til behandlingsgrunnlag i arbeidsforhold etter dagens regelverk. 10 Personvernforordningens fortale (heretter fortalen) punkt NOU 2009:1 s Fortalen punkt Personvernforordningen art. 1 og fortalen punkt Eidem (2017). 2

6 Hvilke vilkår er etter personvernforordningen i tråd med de krav som stilles for behandlingsgrunnlag i et ansettelsesforhold etter gjeldende rett, og hvilke vilkår er nye behandlingsbetingelser. 1.2 Rettskildebildet Retten til personvern spiller en sentralt rolle i arbeidslivet(jf. punkt 1.1). Personopplysningsloven med forarbeider og EUs personvernforordning med tilhørende fortale, vil være de viktigste rettskilder for oppgavens hovedproblemstilling. Jeg vil i det følgende gi en kort redegjørelse for de rettskildefaktorer som gjør seg gjeldende ved tolkning av personopplysningsloven i avsnitt og de som gjør seg gjeldende ved tolkning av EUs personvernforordning i avsnitt Dagens rettskildebilde Det er først og fremst popplyl. 2, 8, og 11 som vil danne grunnlaget for arbeidsgivers behandling av personopplysninger etter dagens regelverk. Popplyl. 2 inneholder sentrale definisjoner av ord og aktører, mens 11 og 8 stiller krav til arbeidsgivers behandling av personopplysninger. Jeg har valgt å vie popplyl. 11 mindre oppmerksom i oppgaven, ettersom oppgavens sentrale tema er behandlingsgrunnlag som kun er ett av flere vilkår i bestemmelsen. Popplyl. 8 er det sentrale utgangspunkt idet bestemmelsen regulerer arbeidsgivers rettslige grunnlag for å behandle personopplysninger om arbeidstaker. Popplyl. angår enhver behandling av personopplysninger som skjer helt eller delvis med elektroniske hjelpemidler eller inngår eller skal inngå i et personregister, med unntak av rent private formål, jf. popplyl. 3. Dette gjelder uavhengig om opplysningene lagres i et arkiv eller om de lagres digitalt. Formålet og virkeområde som følger av lovens 1, 3 og 4, vil være sentrale tolkningsfaktorer for bestemmelsene som følger av denne lov. Popplyl. skal beskytte enkeltindivider mot ulovlig behandling av personopplysninger, og utgangspunktet er at behandling av personopplysninger etter personopplysningsloven ikke er tillatt med mindre det foreligger rettslig grunnlag. 15 Bestemmelsene i loven utdypes videre i lovforarbeidene. Lovens forarbeider er inntatt i NOU 1997:19 ( et bedre personvern ), Ot.prp. nr. 98 ( ) og i Innst. O. Nr. 51( ). 16 Forarbeidene vil bidra til tolkningen av bestemmelsenes ordlyd ved at de. 17 Lovteksten sammen med forarbeider har i norsk rett stor rettskildemessig vekt, ettersom de belyser 15 Popplyl. 8 og Johansen (2001) s Eckhoff (2001) s

7 lovgivers formål med reguleringen, og fotoarbeidene kaster lys over hva lovgivers vilje går ut på. 18 Lovteksten har likevel høyere autoritet enn forarbeidene, fordi den er vedtatt av lovgiver i lovs form. Lovteksten har dermed større vekt. 19 Personopplysningslovens 8 gjennomfører direktiv 94/46/EF art. 7. Ettersom personopplysningsloven bygger på direktivet, er den nasjonale lovgivning tilrettelagt og fullkommen med kravene som stilles. Direktivets forarbeider og fortale vil av den grunn være av relevans som tolkningsfaktor ved tolkningen av bestemmelsene. 20 Det er lite rettspraksis som omhandler oppgavens hovedproblemstilling. Det er ikke funnet funn av praksis fra Høyesterett med direkte relevans for oppgaven. Rettskildefaktoren vil av den grunn ikke bidra så mye i avklaringen av oppgavens tema. Lite rettspraksis på området kan begrunnes med at saker som gjelder personvern i dag avgjøres av datatilsynet og personvernsnemda. Datatilsynets forvaltningspraksis og personvernsnemdas praksis har derfor rettskildemessig vekt ved tolkningen av bestemmelsene. Eckhoff sier at ved spørsmålet om hvilken vekt forvaltningspraksisen skal tillegges avhenger av: 21 «Hvor utbredt og varig praksisen er, om den skriver seg fra overordnede eller underord- nede organer, hvor stor kyndighet som er representert i de organer som har truffet av- gjørelsene, hvor rimelige eller urimelige de inntatte standpunkter er etter domstolenes mening, hvilke andre rettskildefaktorer som griper inn, etc. Dessuten spiller det en vesentlig rolle hva slags spørsmål det dreier seg om». Datatilsynet fører tilsyn med at behandling av personopplysninger oppfyller kravene i personopplysningsloven. 22 Selv om tilsynets uttalelser, rådgivning og vedtak ikke er bindende, er de veiledende og relevante for å tolke popplyl. 8. Personvernsnemda klager på vedtak fattet av datatilsynet. 23 Nemndspraksisen er av den grunn relevant for tolkningen av 8 i popplyl. jf. henvisningen i 43 til 2 (4). Ved å følge nemdpraksis vil det sikres ensartethet i lovtolkningen. Dette vil bidra til større forutberegnelighet. Selv om forvaltningspraksis som nevnt tillegges begrenset vekt i praksis, vil avgjørelsene som benyttes i oppgaven bli tillagt større vekt i mangel av andre rettskilder, og vil av den grunn være relevant ved tolkningen av personopplysningsloven Eckhoff (2001) s Rt 2008 s (Rettsferie), avsn Johansen (2001) s Schartum (2016) s Popplyl Popplyl

8 Personopplysningsloven bygger som nevnt på personverndirektivet. Praksis fra EU-domstolen vil derfor være relevant, og vil kunne ha rettskildemessig vekt ved tolkningen av bestemmelsen. Det er likevel ikke funnet funn av rettspraksis fra EU-domstolen med relevans for oppgavens tema. På bakgrunn av dette er det benyttet uttalelser fra det uavhengig EU-organet Artikkel 29-gruppen 24. Arbeidsgruppen gir uttalelser og anbefalinger på hvordan direktivet skal tolkes, hvor formålet er å sikre etterlevelse av regelverket. 25 Uttalelsene som er benyttet som rettskilder i oppgaven har ikke stor vekt, og vil kun bli benyttet som tolkningsmomenter Rettskildebildet etter personvernforordningen EUs personvernforordning er bindende for det landet det skal gjennomføres i. 26 Personvernforordningen skal inkorporeres direkte, ikke transformeres gjennom lovgivning. Ettersom personvernforordningen først ble vedtatt våren 2016, er det lite rettskilder på området. Det er ingen EU-dommer som behandler oppgavens tema, og det lite juridisk litteratur som omhandler regelverket. Det er først og fremst personvernforordningen art. 4, 5, 6, 7, som vil danne grunnlaget for arbeidsgivers behandling av generelle personopplysninger. Art. 4 inneholder sentrale definisjoner av ord og aktører, og vil være veiledende ved tolkningen av en større del av forordningen. Art. 5 gir en oppramsing av prinsipper som skaper fundamentet for lovlig behandling av personopplysninger, mens art. 6 og 7 stiller krav til arbeidsgivers behandling av personopplysninger. Personopplysningsloven art. 6 er det sentrale utgangspunktet. Der det foreligger relevante uttalelser i fortalen, vil dette bli vist til som utfyllende tolkningsmoment underveis i oppgaven. Forordningens regler må leses og forstås ut i fra den samlede teksten. 27 Forståelsen av tekstens innhold beror på en naturlig språklig forståelse av bestemmelsens ordlyd. Jeg vil i oppgaven benytte meg av den engelske forordningsteksten. EU-rettslige lovtekster som skal gjelde for mange antall teknologier en tendens til å ha et stort omfang med generelle og uklare ord og uttrykk. Dette medfører at det dermed blir vanskelig å forstå og tolke innholdet i bestemmelsene. Dette bekreftes av juridisk teori hvor Professor Lee A. Bygrave, Universitet i Oslo, beskriver utfordringen med å tolke personverndirektivet: 24 EU-kommisjonens rådgivende organ i personvernspørsmål (Artikkel 29-gruppen). 25 Personverndirektivet art Avtale om Det europeiske økonomiske samarbeidsområde (EØS-avtalen) art. 7 bokstav a). 27 Blume (2016) s

9 Interpreting the DPD is no easy task. This is due largely to the nebulous manner in which many of its provisions are formulated, combined with a paucity of authoritative guide of their meaning. The nebulousness is symptomatic of the political compromises reached after extensive tugs-of-war between various member states, organizations, and interest groups during the drafting process. 28 Det er derfor utfordrende å trekke et klart utgangspunkt. Andre tolkningsmomenter vil dermed få betydning for tolkningen av forordningen. Utgangspunktet er dermed at forordningens regler må forstås ut i fra den samlede tekst. Art. 1 jf. fortalens punkt 14 fastsetter forordningen formål. Forordningens art. 2 jf. fortalens punkt 18 fastsetter den materielle avgrensing. De territoriale avgrensning fremkommer av art. 3 jf. fortalens punkt 22. Disse bestemmelsene vil fastsette hvordan forordningens regler skal fortolkes, og vil være veiledende momenter i oppgaven. I EU-retten har forarbeider begrenset rettskildemessig vekt ved tolkning av bestemmelsene i forordninger, ved at de skal anvendes med forsiktighet. 29. Selv om fortalen har begrenset vekt, vil den være et tolkningsmoment. Personvernforordningen viderefører mange av dagens krav. EUs personverndirektiv vil derfor være en viktig tolkningsfaktor i denne oppgaven for å forstå teksten i forordningen. Eldre dommer og juridisk litteratur som behandler bestemmelser i direktivet som ikke er særlig endret i den nye forordningen, vil ha overføringsverdi. 30 Disse vil bli nevnt fortløpende i oppgaveteksten. Selv om det er lite litteratur som omhandler oppgavens tema, vil artikler være veiledende for oppgaven. Artikkel 29-gruppen gir fremtidig veiledning også for forordningen. Arbeidsgruppen er formalisert gjennom forordningen, og vil etter forordningen få status som formelt EU-organ; "European Data Protection Board", jf. art. 68 og 69. Gruppen skal slik som ved direktivet avsi uttalelser om hvordan man tolker forordningen. Gruppen skal på denne måten sørge for en ensartet håndhevelse av regelverket, jf. art. 70. European Data Protection Board har ikke ennå gitt ut guidelines som omhandler oppgavens tema. Endringer kan derfor forekomme, og oppgaven må leses med dette for øyet. Juridisk teori som er benyttet i oppgaven vil bli nevnt forløpende i teksten. Den juridiske teori som er nevnt har bidratt til inspirasjon til innhold og fungert som hjelp ved tolkning av regel- 28 Bygrave (2014), s Arnesen (2015) s Blume (2016) s

10 verkene. Den rettspraksis som er benyttet i oppgaven er funnet ved søk av tekst av enkelte emner, ved referanser i litteraturen, eller ved enkeltsøk på lovdata. 1.3 Avgrensinger Oppgavens formål er først og fremst å analysere hvilke behandlingsgrunnlag som er relevante. Oppgaven skal avdekke hvilke konsekvenser som oppstår for arbeidsgiver når den nye personvernforordningen ikraftsettes. Oppgavens fokus er på arbeidsgivers adgang til å behandle personopplysninger om egne ansatte. Arbeidssøkere faller dermed utenfor oppgavens virkeområde. Oppgaven avgrenses mot andre krav til behandling av personopplysninger enn kravet til behandlingsgrunnlag. Avgrensingene i popplyl. 11 vil det ikke gjøres rede for. Videre vil det ikke bli tatt utgangspunkt i andre spesiallover som omhandler behandling av personopplysninger med mindre dette er eksempler på visse tilfeller der den nevnte behandlingsgrunnlag kan/ikke kan legges til grunn. Arbeidsmiljøloven vil ikke være av betydning for oppgavens tema, bortsett fra definisjonene av arbeidsgiver og arbeidstaker i 1-8, og de enkelte bestemmelser som er brukt som typiske eksempler i kapittel 2 og 3. Jeg vil i den oppgaven ikke gå inn på skillet mellom generelle og sensitive opplysninger. Oppgaven avgrenses til å gjelde behandling av generelle personopplysninger etter 8. Vilkårene for behandling av sensitive personopplysninger i 9 vil derfor ikke behandles. Dette grunnet oppgavens omfang. 1.4 Begrepspresiseringer Personopplysninger og behandling av personopplysninger Personopplysninger Personopplysning er definert i popplyl. 2 nr. 1 som opplysninger og vurderinger som kan knyttes til en enkeltperson. Det er først når opplysninger direkte knytter en behandling til en enkeltperson, at situasjonen faller inn under loven, jf. bestemmelsens ordlyd. Opplysninger som ikke direkte klarlegger en enkeltperson, kan også være personopplysninger, jf. kan knyttes til. Det bekreftes av lovens forarbeider at personopplysninger vil være både direkte og indirekte vurderinger som kan knyttes til fysiske personer. 31 Forordningens art. 4 (1) tar og for seg hva som menes med personopplysninger, jf. personal data. Sammenlignet med dagens gjeldende rett, overføres definisjonen personopplysninger over til definisjonen "data. Det følger av ordlyden at personopplysninger er informasjon re- 31 Ot.prp.nr. 92 ( ) s

11 latert til et identifisert individ, både direkte og indirekte. Dette trekker i retning av at ikke bare navn, adresse, og lignende medregnes, men også annen informasjon som kan føre til at noen blir gjenkjent, slik som bilder, referat fra møter, og lignende. 32 Videre utdypes det i fortalen at IP-adresser er å anse som personopplysninger; "Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags". 33 Personvernforordningen art. 4 (1) er i tråd med popplyl. 2 nr. 1. Bestemmelsen tar for seg flere typer tilfeller enn dagens nasjonale lovgivning, og gir av den grunn regelverket større anvendelsesområde. Personopplysninger i et ansettelsesforhold vil i dag typisk være registreringer av når en arbeidstaker ankommer og forlater arbeidsplassen. Personopplysning vil i den videre fremstilling av oppgaven brukes om personopplysninger om arbeidstaker Behandling av personopplysninger Med behandling av personopplysninger menes etter gjeldende rett enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter, jf. popplyl. 2 nr. 2. Dette trekker i retning om at all slags opplysninger som hentes inn om en arbeidstaker i arbeidslivet vil være personopplysninger. Forordningens art. 4 (2) tar og for seg hva som menes med behandling av personopplysninger, jf. prosessing. Det følger av ordlyden at enhver behandling av personopplysninger, enten det foregår automatisk eller manuelt, vil være behandling av personopplysninger så lenge det innebærer collecting recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination med mer. Lovteksten tar for seg flere typer tilfeller enn dagens nasjonale lovgivning, men er likevel i tråd med popplyl. 2 (1) nr. 2. Behandling vil i oppgaven brukes om arbeidstakers behandling av personopplysninger om ansatte Behandlingsansvarlig og den registrerte Behandlingsansvarlig og den registrerte er de to sentrale aktørene ved behandlingen av personopplysninger. 32 Richter (2016) og fortalen punkt Fortalen punkt 30. 8

12 Behandlingsansvarlig En behandlingsansvarlig er etter popplyl. den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes, jf. popplyl. 2 nr. 4 og direktivet art. 2 d).den behandlingsansvarlige er den som bestemmer at det en personopplysning skal behandles, hvilket formål en behandling av personopplysninger har, og bestemmer videre hvordan personopplysningen skal behandles. Den behandlingsansvarlige er den som er beslutningstaker det vil si den som har den juridiske befatningen og bestemmende utøvelse over formål og virkemidler og som dessuten initierer og finansierer den aktuelle behandlingen. 34 I definisjonen av behandlingsansvarlig etter personvernforordningen art. 4 (7), foreligger det ingen endringer fra hva som er å anse som behandlingsansvarlig etter popplyl. 2 (4) som bygger på personverndirektivet. Dette tilsier at en bedrift som er å regne som behandlingsansvarlig i dag, vil være behandlingsansvarlig også etter det nye regelverket. Den behandlingsansvarlige har klare plikter etter loven. Han er ansvarlig for å etterleve de lovreglene som gjelder. Det må foreligge et behandlingsgrunnlag for at behandlingen skal være lovlig. Et eksempel vil være der behandlingen er nødvendig for å oppfylle arbeidsavtalen. I et arbeidsforhold vil det normalt være arbeidsgiver som er behandlingsansvarlig, ettersom det er arbeidsgiver som har det daglige ansvaret for virksomheten. 35 Når den behandlingsansvarlige gir behandlingsrett til en annen databehandler, skal behandlingsansvaret fremdeles være hos arbeidsgiver. 36 I den videre fremstillingen brukes behandlingsansvarlig og arbeidsgiver om hverandre Den registrerte Den registrerte er den som en personopplysning kan knyttes til, jf. popplyl. 2 nr. 6, og vil den personen personopplysningene gjelder. Denne aktør har ingen begrepspresisering i direktivet, men det følger av lovens forarbeider at det likevel var et behov for å presisere dette sentrale begrepet på grunn av denne aktørens sentrale rolle i loven. 37 Den registrerte vil i et arbeidsforhold være arbeidstaker, og det er slik begrepet skal forstås i oppgaven. Det foreligger ikke noe definisjon av den registrerte i personvernforordningen. Dette er det samme som i personverndirektivet. Hvem som er å regne som den registrerte etter personvernforordningen avhenger av om det blir behandlet personopplysninger, jf. art. 4 (1). Behandling av personopplysninger vil være avgjørende for hvem som i det konkrete tilfellet er å 34 PVN punkt Kjølaas s Johansen (2001) s Johansen (2001) s

13 regne som den registrerte. Dette trekker i retning av at selv om definisjonen i popplyl. ikke er videreført, er det lite som tilsier av at det innebærer noe forskjell i aktørrollen. 1.5 Den videre disposisjon Oppgaven er delt inn i fem deler. Del to omhandler grunnlag for å behandle personopplysninger etter dagnes regelverk. Her vil oppgaven først ta for seg personopplysningsloven og redegjøre for de krav som stilles for rettslig grunnlag for behandling av personopplysninger. Det vil videre bli foretatt en rangeringen av behandlingsgrunnlagene etter den nasjonale personvernlovgivningen. Under del tre vil det først gis en introduksjon av EUs personvernforordning før det redegjøres for arbeidsgivers grunnlag for å behandle personopplysninger etter EUs personvernforordning. Det vil gis en analyse av hvordan de nye reglene i personvernforordningen samsvarer med de reglene vi har i personopplysningsloven i dag. Redegjørelsen vil ta utgangspunkt i hvilke nye krav som stilles og hvordan de nye reglene gjennomføres. Rettspolitiske betraktninger fremkommer i del fire. I del fem blir det gitt en sammenfatning av oppgaven. 10

14 2 Grunnlag for å behandle personopplysninger etter dagens regelverk 2.1 Innledning Jeg vil i dette kapittelet behandle kravet til behandlingsgrunnlag etter gjeldende rett. Dette er et av flere vilkår som må være oppfylt for at arbeidsgiver skal ha lov til å behandle personopplysninger om den ansatte Hovedregel om behandlingsgrunnlag i personopplysningsloven Det følger av popplyl. 8 at Personopplysninger kan bare behandles dersom den registrerte har samtykket, eller det er fastsatt i lov at det er adgang til slik behandling, eller behandlingen er nødvendig...(for nærmere angitte formål). Loven oppstiller her tre alternative hovedgrunnlag. Behandlingsgrunnlagene gjelder for all behandling av generelle personopplysninger hvor loven kommer til anvendelse. 39 Ordlyden i bestemmelsen tilsier at vilkåret må være oppfylt for at en behandling av personopplysninger er å anse lovlig. 40 Det er den behandlingsansvarlige som er ansvarlig for vurderingen av om det foreligger et behandlingsgrunnlag etter popplyl. 8. Lovhjemmel foreligger når det fremkommer av en lovbestemmelse at personopplysninger kan behandles. Samtykke er når behandling av opplysningene er godkjent av den opplysningene omhandler. Nødvendig grunn er når behandling av alminnelige personopplysninger er nødvendig etter grunnene oppstilt i 8 a) f). Lovteksten i popplyl. 8 forutsetter at en av behandlingsgrunnlagene må være oppfylt før behandling av personopplysninger kan iverksettes. Loven oppstiller ikke noen regler om hvilket rettslig grunnlag den enkelte behandling burde baseres på. I avsnitt vil det presenteres om det er noe rangering av de behandlingsgrunnlag som fremkommer i bestemmelsen. 2.3 Behandlingsgrunnlag i ansettelsesforhold Arbeidsgiver må ha et behandlingsgrunnlag for å kunne samle inn og behandle personopplysninger am ansatte, 41 uavhengig av om opplysningene er generelle eller sensitive 42. Vilkåret må være oppfylt før arbeidsgivers behandling av personopplysninger starter. I et arbeidsfor- 38 Popplyl Ot.prp. nr. 92 ( ) s Dette følger også av popplyl. 11 bokstav a). 41 Popplyl. 11 jf. 8 og Popplyl. 2 nr

15 hold vil det i praksis si ved inngåelsen av en arbeidsavtale eller før den aktuelle behandlingen finner sted. I et ansettelsesforhold er det følgende behandlingsgrunnlag som er aktuelle, og som det vil redegjøres for i den videre fremstillingen av oppgaven: Der det er fastsatt i lov, jf. popplyl. 8. Den enkeltes arbeidstakers samtykke, jf. popplyl. 8 Hvor behandlingen er nødvendig for å oppfylle en arbeidsavtale, jf. popplyl. 8 a). Hvor behandlingen er nødvendig for å ivareta en berettiget interesse, jf. popplyl. 8 f) Lovgrunnlaget Lovhjemmel foreligger når det er fastsatt i lov eller forskrift at personopplysninger kan behandles. For å tilfredsstille kravet til lovhjemmel som rettslig grunnlag må hjemmelen dekke aktuelle opplysningstyper. Der lovhjemmel foreligger har lovgiver allerede vurdert behandlingen og funnet den ønskelig. 43 Det vil ikke være noe spørsmål om inngrepet vil oppleves som uheldig ovenfor arbeidstaker. Dersom et slikt alternativ etter særlovgivningen strider mot personopplysningsloven vil den likevel ikke være ulovlig, jf. popplyl. 5. Personopplysningsloven er en generell lovgivning og særlovgivning vil naturligvis ha forrang. Der det derimot foreligger usikkerhet om inngrepet vil oppleves som uheldig ovenfor arbeidstaker, må det foretas en konkret vurdering hvor hjemmelens ordlyd vurderes i forhold til hvor inngripende behandlingen av personopplysninger i det konkrete tilfellet er. 44 Jo alvorligere personvernskonsekvenser, desto strengere bør kravet til hjemmelen være. 45 Det foreligger dermed et krav til forholdsmessighet. 46 Dersom behandlingen ikke er av like stor betydning og like inngripende for arbeidstaker, stilles det ikke like høye krav til klar lovhjemmel. Bedriftshelsetjenesten er et praktisk tilfelle hvor det foreligger hjemmel i lov for arbeidsgivers håndtering av de ansatte. Det følger av aml. 3-3 at arbeidsgiver plikter å ha bedriftshelsetjeneste dersom virksomheten medfører risiko og belastninger for arbeidstakere. Bedriftshelsetjenesten vil overvåke, kartlegge og behandle arbeidstakers helse. 47 Hvilke virksomheter som skal ha bedriftshelsetjeneste fremkommer av forskrift om organisering, ledelse og medvirk- 43 Johansen (2001) s Johansen (2001) s Ot.prp nr. 92 ( ) s Schartum (2011) s Datatilsynet (2006). 12

16 ning, Dette vil typisk være bransjeområder slik som bygg, renovasjon og transport. Arbeidsgiver har her hjemmel i lov til å behandle personopplysninger som er nødvendige for å tilrettelegge ansettelsesforholdet på grunn av helseforhold. Popplyl. 2 nr 8 definerer helseopplysninger som sensitive, og slike opplysninger må derfor følge reglene som gjelder for sensitive personopplysninger. Der det ikke foreligger lovhjemmel, må andre behandlingsgrunnlag legges til grunn Det kreves dermed supplerende grunnlag slik som samtykke eller nødvendig grunn. Lovhjemmel som behandlingsgrunnlag er dermed uproblematisk i et arbeidsforhold etter dagens regelverk. Det er først når det er samtykke eller en av de to alternative nødvendige grunner som er nevnt i punkt 2.3 som skal legges til grunn, som er av interesse for oppgavens tema Den enkelte arbeidstakers samtykke Samtykke Samtykke er definert i popplyl. 2 (7), hvor det fremkommer at samtykke er en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv. Definisjonen bygger på EUs personverndirektiv art. 2 bokstav h. Det stilles strenge krav til hva som er å regne som et gyldig samtykke etter loven forstand. For at et samtykke skal legges til grunn som behandlingsgrunnlag må tre kumulative vilkår være oppfylt; samtykke må være frivillig, uttrykkelig og informert. 49 Etter bestemmelsens ordlyd foreligger samtykke når behandling av opplysningene er godkjent av den opplysningene omhandler. I et arbeidsforhold vil det være et samtykke fra den arbeidstaker opplysningene gjelder. Ved at arbeidstaker samtykker til behandlingen, foreligger dermed grunnlag for behandlingen av personopplysninger. Utgangspunktet for samtykkealternativet er først og fremst at arbeidstaker har rett til å bestemme over opplysninger som gjelder han eller henne selv, jf. prinsippet om selvbestemmelsesrett i EUs personverndirektiv art. 7 bokstav a). Det kan konstateres at direktivets ordlyd skiller seg fra popplyl. 8, ved at det i direktivets art 7 bokstav a) slås fast at samtykke må være utvetydig. Selv om utformingen i popplyl. 8 er noe annerledes enn det som følger av direktivet, ligger likevel innholdet innenfor direktivets rammer. 50 Det legges dermed til grunn at kravet til samtykke stiller likt etter direktivets art. 7 bokstav a) jf. art. 2 bokstav h) og etter popplyl. 8 jf. 2 nr Forskrift 6. Desember 2011 nr om organisering, ledelse og medvirkning Popplyl. 2 nr NOU 1997:19 13

17 Frivillighet Frivillighetsvilkåret innebærer at samtykke skal være valgfritt. I et ansettelsesforhold vil det alltid foreligge muligheter for arbeidsgiver å enten belønne eller gi sanksjoner der en arbeidstaker skal avgi sitt samtykke. En arbeidstaker vil av den grunn ikke unnlate å gi samtykke, ettersom dette kan innebære negative konsekvenser for ansettelsesforholdet. Det foreligger et ujevnt maktforhold mellom arbeidsgiver og arbeidstaker, ettersom arbeidsgiver som følge av sin styringsrett alltid vil kunne pålegge sanksjoner for arbeidstaker ettersom han har en maktovervekt. Slike negative følger som kan pålegges en arbeidstaker i et ansettelsesforhold vil medføre at frivilligheten svekkes. 51 Artikkel 29-gruppen uttaler at «where consent is required from a worker, and there is a real or potential relevant prejudice that arises from not consenting, the consent is not valid in terms of satisfying either Article 7 or Article 8 as it is not freely given. 52 Det kan dermed stilles spørsmål om det i det hele tatt foreligger et gyldig samtykke. Hva skal egentlig til for at en samtykke som er avgitt i et ansettelsesforhold er å anse som frivillig. Det følger av juridisk teori at det stilles et krav til at samtykke er å anse som reell. 53 Tvang til å samtykke samt negative følger til å la være å samtykke, vil ikke vil være samtykke i lovens forstand. Dette bekreftes av lovens forarbeider hvor det fremgår at samtykke ikke må være avgitt under noen form for tvang fra den behandlingsansvarlige eller andre. 54 Alle negative følger av å ikke gi samtykke begrenser den enkeltes reelle frivillige samtykke. Frivillighetsvilkåret sperrer motsetningsvis ikke for at et samtykke er frivillig dersom positive følger gis. 55 Frivillighet har vært omtalt som en utfordring i ansettelsesforhold. Det er vanskelig å gjennomføre. Dette bekreftes som nevnt av artikkel 29-gruppens uttalelser. 56 Dette bekreftes videre av Securitas-saken. 57 Problemstillingen var her arbeidsgiveren hadde mulighet til å ta blodprøver av sine arbeidstakere med det grunnlag at han ønsket å forsikre at disse ikke var påvirket av alkohol i løpet av arbeidsdagen. Personvernnemda la til grunn at maktforholdet i et ansettelsesforhold begrenser bruken av samtykke som rettslig grunnlag. 58 Samtykke var derfor et lite egnet behandlingsgrunnlag. Dersom en ansatt nekter å samtykke til en slik behandling vil dette naturligvis få konsekvenser for ansettelsesforholdet. 51 Schartum (2011) s Artikkel 29-gruppen (2011) s Kjølaas (2010) s Ot.prp. nr. 92 ( ) s Schartum (2011) s Artikkel 29-gruppen (2011) s PVN PVN punkt

18 Uttrykkelig Det neste vilkåret er at samtykke må være uttrykkelig. Etter en naturlig ordlydsforståelse innebærer dette at det må foreligge en klart formulert erklæring som viser til at samtykke faktisk er gitt, og at arbeidstakere forstår hva det er de samtykker til. 59 Det oppstilles ikke noen formkrav til hvordan samtykke fra arbeidstaker gis. Erklæringen kan enten være skriftlig eller muntlig. 60 Dersom det eksisterer tvil om et samtykke faktisk er gitt, eller til hva samtykke går ut på, foreligger det ikke samtykke etter loven forstand. Det må være en viss aktivitet fra arbeidsgiver for at samtykke skal være lovlig som behandlingsgrunnlag. 61 Eksempelvis vil en som unnlater å snakke, ikke samtykke i lovens forstand. Dette vil karakteriseres som passiv handling, og er ikke i overenstemmelse med samtykkepresiseringen som følger av popplyl. 2 nr I et ansettelsesforhold vil det ikke aksepteres at arbeidstaker må foreta en handling dersom han ikke ønsker å samtykke. Konkludent adferd, som innebærer at man aktivt gjør noe, er heller ikke nok til å oppfylle kravet til uttrykkelighet. 63 Adferden må være så sterk at det kan forståes at et samtykke er gitt. Det er dermed et krav til en sterk aktiv handling, som typisk i arbeidsforhold vil være en underskrift Informert Det tredje og siste vilkår til samtykke går ut på at et samtykke må være informert. Dette innebærer at arbeidstaker må forstå hva han samtykker til. Arbeidstaker skal bli informert om hva han samtykker til og hvilke konsekvenser som følger av dette. 64 Arbeidstaker skal gis informasjon om faktiske forhold. 65 Det er arbeidsgiver som skal vurdere hva slags informasjon de ansatte skal ha kunnskap om, og dette vil typisk være informasjon om arbeidstakers rettigheter. Det vil eksempelvis være retten til å trekke samtykke tilbake. Etter personopplysningslovens lovproposisjon kan samtykke tilbakekalles når som helst. 66 Retten til å trekke samtykke tilbake har ingen egen bestemmelse i loven, i motsetning til den danske og svenske lov. 67 Dette kan mest sannsynlig begrunnes med at lovgiver følte dette var et klart krav i forhold til kravet om frivillighet. 68 Dersom samtykket ikke er gitt frivillig, vil det heller ikke fo- 59 Schartum (2011) s Ot.prp. 92 ( ) side NOU 1997: 19 s PVN s NOU 1997:19 s NOU 1997: 19 s Schartum (2011) s Ot.prp. nr. 92 ( ) s Den danske lov om behandling af personoplysninger 38 og den svenske personupgiftslagen Ot.prp. nr. 92 ( ) s

19 religge et gyldig behandlingsgrunnlag. Dersom en arbeidstaker trekker sitt samtykke tilbake så medfører dette at behandlingsgrunnlaget ikke lenger gjelder. Samtykke som behandlingsgrunnlag er dermed ulovlig. Den såkalte drosjeløyvesaken (PVN ) handlet om innhenting av sensitive personopplysninger ved tildeling av drosjeløyver. Søkerne ble her bedt om å samtykke til at det ble innhentet opplysninger som er nødvendige for behandlingen av drosjeløyver ( ) hos Skatteetaten, kemneren, toll- og avgiftsmyndigheter, Arbeids- og velferdsetaten (nav) og kommunenes bydelsadministrasjoner. 69 Personvernnemda kom frem til at erklæringen måtte være mer spesifisert for å oppfylle vilkåret til et informert samtykke, og sa følgende: [E]rklæringen må konkretiseres nærmere og de ulike personopplysninger som skal innhentes må spesifiseres. 70 Det må dermed foreligge en konkretisering av hvilke opplysninger skal innhentes for at samtykke er å anse som tilstrekkelig informert Samtykke i et arbeidsforhold Samtykke vil som nevnt i drøftelsen over ikke alltid være tilfredsstillende som behandlingsgrunnlag i et ansettelsesforhold. Arbeidstaker og arbeidsgiver er ikke å anse som to likeverdige parter. Arbeidsgiver må istedenfor bygge behandlingen av personopplysninger på en av nødvendighetsgrunnene i popplyl. 8, bokstav a) eller bokstav f). Det kan her vises til kravene som stilles etter aml. 9-2 som omhandler kontrolltiltak. Det vises ikke til samtykke fra arbeidstaker som grunnlag for å iverksette et slikt tiltak. Samtykke er dermed ikke alltid et tilstrekkelig behandlingsgrunnlag i et ansettelsesforhold. Dette bekreftes videre av Artikkel 29-gruppens uttalelser som viser at bare samtykke som behandlingsgrunnlag ikke er nok som grunnlag for arbeidsgivers behandling ved overvåkning av epost. 71 Dette trekker i retning av at samtykke ikke er et selvstendig rettslig grunnlag ved kontrolltiltak i et ansettelsesforhold. Derimot kan samtykke være praktisk der det ikke foreligger noe inngripende behandling av personopplysninger, typisk der samtykke kreves for å tilby en tjeneste til de ansatte Nødvendig behandling av personopplysninger Nødvendig Et generelt utgangspunkt i lovgivningen er at behandling av personopplysninger ikke skal utføres med mindre det er nødvendig. Dette støttes av et sentralt personvernprinsipp hvor det 69 PVN punkt PVN punk Artikkel 29-gruppen (2002) s

20 følger at behandling av opplysninger kun kan iverksettes dersom det er nødvendig for et bestemt formål. 72 Prinsippet begrenser dermed behandlingen av personopplysninger. 73 Nødvendighetsprinsippet kommer til utrykk flere steder i lovgivningen. I den videre fremstilling er det nødvendighetskravets innhold i 8 som skal undersøkes. Ifølge popplyl. 8 kan den behandlingsansvarlige foreta en lovlig behandling av personopplysninger om den registrerte for å ivareta formålet med minst en av de nødvendige grunnene i bokstav a) til f). Etter alle seks ulike alternativene foreligger det et nødvendighetskrav, jf. ordet nødvendig. Dette vil i et arbeidsforhold være aktuelt der det er nødvendig for å oppfylle arbeidsavtalen, jf. 8 a), eller for å ivareta en berettiget interesse, jf. 8 f). Jeg vil dermed avgrense mot bokstav b) til e). Om behandlingen av personopplysninger er nødvendig må avgjøres for hver enkel behandling og i hvert enkelt tilfelle. 74 Kravet til nødvendighet legger opp til en skjønnsmessig og konkret vurdering i hver situasjon, jf. bestemmelsens ordlyd. Det må foreligge et konkret behov for behandlingen. Det er derimot ikke et krav til at det skal være det eneste mulige alternativ. 75 Momenter som generelt inngår i nødvendighetsvurderingen er behandlingens formål, inngrepets karakter og behandlingens omfang. 76 Dette innebærer at det må foretas en forholdsmessighetsvurdering. 77 Disse momenter vil inngå i et ansettelsesforhold der vurderingen er om det er nødvendig for arbeidsgiver å behandle opplysninger om sine ansatte. Behandlingen av personopplysninger skal være minst mulig belastende for arbeidstaker, jf. lovens formål i popplyl. 1. Dersom behandlingsformen arbeidsgiver velger for å oppnå formålet kan ivaretas på en mindre inngripende måte for arbeidstaker, vil ikke inngrepet være nødvendig Personopplysninger som er nødvendig for å oppfylle en arbeidsavtale Av samtykke som behandlingsgrunnlag stilles det ikke noe tilleggsvilkår. Samtykkeelementet har derfor stor betydning for behandling av personopplysninger som ikke er nødvendig for 72 Ot.prp. nr. 108 ( ) s Ot.prp. nr. 108 ( ) s Ot.prp. nr. 92 ( ) s NOU 2003: 21 s Ot.prp. nr. 108 ( ) s Ot.prp. nr. 108 ( ) s NOU 2009: 1 s. 151 og NOU 2004: 5 s

21 arbeidsgiver å behandle. Hva som egentlig er nødvendig å behandle om arbeidstaker kan det derimot reises tvil om. Selv om lovhjemmel ikke foreligger og samtykke i det enkelte tilfellet ikke er innhentet, kan arbeidsgiver likevel påberope seg en nødvendig grunn for behandlingen av personopplysninger om arbeidstaker. Av særlig interesse er bokstav a) som i et ansettelsesforhold er rettet mot oppfyllelse av arbeidsavtalens innhold. 79 Popplyl. 8 bokstav a) lyder følgende: Personopplysninger kan bare behandles dersom behandlingen er nødvendig for å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås. Dette tilsier at bokstav a) ikke kan være hjemmel for behandling av personopplysninger som ikke har til formål å oppfylle arbeidsavtalen. En arbeidsavtale er en kontrakt der arbeidstaker stiller sin arbeidskraft til disposisjon for arbeidsgiver, normalt mot et vederlag. Minstekrav som stilles til arbeidsavtalens innhold følger av aml Bestemmelsen taler for at arbeidsavtalen bør tolkes snevert. Ifølge bestemmelsen skal arbeidsavtalen bestå av opplysninger om forhold av vesentlig betydning. Dette vil typisk være opplysninger om arbeidsplass, beskrivelse av arbeidstakers oppgaver i virksomheten, arbeidstakerens rett til ferie og feriepenger, oppsigelsesfrister, lønn ved arbeidsforholdets startsfase, pauselengder, samt. avtalt arbeidstid. Dette trekker i retning av at relevante plikter i forhold til en arbeidsavtale vil være lønnsutbetaling, utføre oppgavene som er knyttet stillingen i virksomheten, samt. det å ankomme arbeidsplassen tidsnok. Arbeidsgivers behandling av slike opplysninger hvor formålet er å oppfylle disse rettigheter og plikter som nevnt ovenfor, er dermed relatert til arbeidsavtalen, og popplyl. 8 bokstav a) kommer dermed til anvendelse ved behandlingen. Datatilsynet har listet opp eksempler på personopplysninger som en arbeidsgiver som hovedregel vil ha grunnlag for å behandle med utgangspunkt i 8 a jf. 9 f. Av denne listen er det 24 personopplysninger som er oppstilt, blant annet; navn, adresseopplysninger, sivilstatus, fødselsnummer, lønnsopplysninger, m.m. 80 Utbetaling av lønn er et veldig sentralt element ved et ansettelsesforhold, og er normalt nødvendig for å oppfylle en arbeidsavtale. Utbetaling av riktig lønn til rett person er et betydningsfullt formål. Videre vil registreringen av opplysningene ikke medføre et stort inngrep i arbeidstakers personvern. Omfangsbegrensningen setter derimot grenser for hva som er å regne som nødvendige opplysninger i det aktuelle tilfellet. Det må foretas en vurdering av om 79 Johansen (2001) s Datatilsynet (2011a) og Kjølaas (2010) s

22 behandlingen er nødvendig. Dette gjelder i forhold til hvilke type opplysninger det er snakk om i forhold til arbeidstakeren, og i forhold til selve formålet med behandling, jf. punkt Personopplysninger som er nødvendig for å ivareta en berettiget interesse Selv om det ikke foreligger behandlingsgrunnlag etter arbeidsavtalen, kan arbeidsgiver likevel påberope seg en nødvendig grunn etter bokstav f) for behandlingen av personopplysninger om arbeidstaker. Bokstav f) er et siste alternativ dersom ønsket behandling ikke finner hjemmel i noen av de øvrige alternativene. Nødvendighetskravet etter popplyl. bokstav f) har et videre anvendelsesområde enn bokstav a). Ifølge popplyl. 8 bokstav f) kan arbeidsgiver behandle personopplysninger der dette er nødvendig for å ivareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen. Bestemmelsens ordlyd tilsier at behandlingen kun skal skje i den utstrekning personopplysningene er nødvendig for å ivareta en berettiget interesse. Nødvendighetskravet er dermed ikke knyttet til et bestemt formål slik som de andre nødvendighetskravene i bestemmelsen. Det skal foretas en interesseavveining mellom arbeidsgivers behov for å behandle opplysningene på den ene siden, og arbeidstakers personvern på den annen side. Dersom arbeidsgivers nødvendige grunn til å behandling av opplysningene overstiger arbeidstakers personvernhensyn, vil det dermed foreligge en berettiget interesse. Lovens forarbeider viser at det ved en slik vurdering vil hensynet til personvern veie tungt. 81 I visse tilfeller kan dette grunnlag være det eneste mulige behandlingsgrunnlaget for arbeidsgivers behandling av personopplysninger. Bestemmelsen er en type post for de behandlinger som ikke faller inn under bokstav a) e), men som likevel sees for å overgå betydningen til arbeidstakers personvern. 82 Et typisk tilfelle som vurderes etter popplyl. 8 bokstav f) er adgangen til å behandle personopplysninger om arbeidstaker etter kontrolltiltak i ansettelsesforhold etter aml. kapittel 9. For at denne behandlingen etter kontrolltiltak skal anses lovlig må ikke arbeidstakers personverninteresser overstiger arbeidsgivers interesse slik som tidligere nevnt. Høyesterett tok i den såkalte e-postkjennelsen 83 stilling til om e-post som ble sendt til og fra epostkontoen til arbeidstaker kunne legges frem som bevis i en sak som gjaldt avskjed uten at samtykke fra arbeidstaker var innhentet. Generelt har ikke arbeidsgiver rett til å lese e-post 81 Ot. Prp. nr. 92 ( ) s Johansen m.fl s RT 2002 s

23 som arbeidstaker mottar som privatperson uten at arbeidstaker har samtykket, men dersom e- postene er virksomhetsrelaterte vil arbeidsgiver derimot ha rett til innsyn. 84 Høyesterett kom frem til at arbeidsgiver hadde en berettiget interesse ettersom e-postenes innhold var å anse som virksomhetsrelaterte etter 8 bokstav f). De kom frem til at arbeidsgiverens interesse i å lese disse e-postene oversteg hensynet til arbeidstakers personvern, og dette var dermed bevis som var lovlig innhentet. Et annet tilfelle der arbeidstaker kan behandle personopplysninger etter bokstav f) vil typisk være ved bemanningsplanlegging. Ved bemanningsplanlegging er det ofte et ønske å vite hvordan den ansatte presterer. På et call-senter eller på et lager vil normalt bruken av opplysninger foregå på et gruppenivå. Skjer innsamling og bruk av personopplysninger på gruppenivå, vil behandlingen av personopplysningene ikke utgjøre stor personverntrussel. Behandlingsgrunnlaget vil dermed kunne være popplyl. 8 bokstav f); hvor arbeidsgiver har en berettiget interesse. 85 Et tredje tilfelle som kan behandles etter popplyl. 8 f) er der behandlingen gjelder arbeidssøkere. Her vil arbeidsgiver normalt ha en berettiget interesse i å vite om søkeren er egnet for nettopp den stilling. Her vil ikke arbeidssøkerens personvern overstige arbeidsgivers interesse. Grunnet begrensingene i punkt 1.3 vil jeg ikke gå nærmere inn på dette Rangering av behandlingsgrunnlag Ut i fra ordlyden i popplyl. 8 er behandlingsgrunnlagene likestilte. Ingen av behandlingsgrunnlagene har etter ordlyden en preferert posisjon som rettsgrunnlag etter loven. Det oppstår ingen problemer om hvilket rettslig grunnlag arbeidsgiver skal benytte seg av ved behandling av personopplysninger hvis det foreligger hjemmel i lov. Her har lovgiver allerede vurdert behandlingen og funnet den ønskelig, jf. punkt Dersom en slik behandlingsgrunnlag foreligger er prioriteringen klar. 86 Hva som er å anses for å være hjemmel i lov og hva som kreves for at denne lovhjemmelen er å anse som tilstrekkelig er behandlet i punkt Hvis det ikke foreligger lovhjemmel blir spørsmålet om det er samtykke eller en av de alternative nødvendige grunner som skal legges til grunn som rettslig grunnlag. Forarbeidene til popplyl. påpeker at intensjonen til lovgiver ved behandlingen av personopplysninger har vært at dersom lovhjemmel ikke foreligger, så skal behandlingen oftest baseres 84 Datatilsynet (2011b) og personopplysningsforskriften kap Finansnæringens arbeidsgiverforening (2009) s Kjølaas (2010) s