Lydopptak og personopplysningsloven

Transkript

1 Lydopptak og personopplysningsloven Innhold: 1 Innledning Bestemmelser om lydopptak Personopplysningsloven regulerer lydopptak Hemmelige opptak og opptak til private formål Hva må til for at lydopptaket skal være lovlig Når kan lydopptak foretas Samtykke skal være aktivt, frivillig og informert Plikt til å informere om lydopptaket Rett til innsyn i lydopptaket Sletting av lydopptak Lydopptaket må oppbevares sikkert Lydopptak i ulike situasjoner Nødnummer-samtaler Kvalitetssikring, oppfølging og opplæring av arbeidstakere Dokumentasjon av avtaleinngåelse Sikkerhetshensyn, for eksempel ved trusler Innledning En virksomhet som gjør lydopptak, for eksempel opptak av telefonsamtaler med en kunde, må oppfylle visse vilkår etter personopplysningsloven. I denne veilederen finner du oversikt over hva virksomhet som er ansvarlig for lydopptaket (behandlingsansvarlig) må gjøre for at lydopptaket skal være lovlig. Du finner også oversikt over hvilke rettigheter den registrerte har, det vil si den som får opplysningene sine registrert når opptaket gjøres. Den registrerte kan enten være en kunde som ringer til en virksomhet, eller en ansatt i en virksomhet. Denne veilederen gjelder ikke for lydopptak som gjøres i forbindelse med kameraovervåking. Det er normalt ikke tillatt å ta opp lyd sammen med overvåkingsbilder. 2 Bestemmelser om lydopptak 2.1 Personopplysningsloven regulerer lydopptak 1

2 Personopplysningsloven har ikke spesifikke regler om lydopptak, men opptakene vil likevel kunne falle innenfor lovens rammer. I disse tilfellene må virksomheten som er ansvarlig for opptaket oppfylle visse vilkår og plikter. Personopplysningslovens gjelder: a) Lydopptak som foretas med elektroniske hjelpemidler, for eksempel ved hjelp av automatiske eller datamaskinbaserte opptakssystemer b) Lydopptak som systematiseres i et personregister I begge tilfeller er det en forutsetning at det er mulig å identifisere en bestemt person (jf. personopplysningsloven 2 nr. 1). Personopplysningsloven 3. Saklig virkeområde. Loven gjelder for a) behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler, og b) annen behandling av personopplysninger når disse inngår eller skal inngå i et personregister Personvernnemnda fattet et vedtak i 2005 om krav til sletting av lydopptak, og nemnda redegjør her for når lydopptak faller innenfor personopplysningslovens virkeområde. 2.2 Hemmelige opptak og opptak til private formål Hemmelige opptak av samtaler man selv ikke tar del i, rammes av straffelovens bestemmelser, jf. straffeloven 145a. Men selv om man deltar i samtalen finnes det klare begrensninger i lovverket, blant annet i personopplysningsloven. Lydopptak gjort for private formål faller utenfor personopplysningslovens virkeområde (se personopplysningsloven 3 annet ledd). Med private formål menes for eksempel privatpersoners ønske om å dokumentere sine telefonsamtaler. Unntaket gjelder kun for privatpersoner. 3 Hva må til for at lydopptaket skal være lovlig 3.1 Når kan lydopptak foretas Virksomheten (den behandlingsansvarlige) må oppfylle kravet om ha hjemmel i lov eller ha samtykke fra den det skal gjøres lydopptak av, jr. personopplysningsloven 8. I visse tilfeller kan det også foretas opptak etter en nødvendighetsvurdering. Dette blir behandlet nærmere nedenfor. Virksomheten kan kun gjøre opptak til uttrykkelig angitte formål som er saklig begrunnet i virksomheten. Formålet kan ikke være for vagt eller vidt angitt (personopplysningsloven 11, bokstav b). 3.2 Samtykke skal være aktivt, frivillig og informert Virksomheter som ønsker å foreta lydopptak av kundehenvendelser må hente inn samtykke fra kunden eller innringer før opptaket gjøres. Her vil hensynet til kunders personvern i all hovedsak veie tyngre enn fordelene som virksomheten vil oppnå ved å ta opp samtalen. Dette er særlig tilfellet når formålet med lydopptaket er opplæring av ansatte og kvalitetssikring. 2

3 For at samtykket skal være gyldig må følgende vilkår være oppfylt: 1. Samtykke skal gis som en aktiv og utvetydig handling. Den det skal tas lydopptak av kan enten meddele at han samtykker, eller bes om å taste inn et tall på telefonen for å bekrefte samtykker til lydopptaket. Passivitet, det vil si der den registrerte ikke må foreta seg noe, er ikke et gyldig samtykke. 2. Samtykke må være avgitt frivillig. Dette innebærer at den registrerte ikke kan utsettes for noen form for tvang, trusler, eller nevneverdig negative konsekvenser dersom vedkommende ikke samtykker. Slik Datatilsynet tolker bestemmelsene betyr dette at virksomheten ikke kan tilby dårligere løsninger for de som ikke samtykker til lydopptak. Virksomheten plikter å gi tilsvarende service, med hensyn til blant annet kvalitet og tilgjenglighet til de som ikke samtykker til lydopptak. 3. Samtykket skal være informert. For å oppfylle dette vilkåret må den registrerte gis tilstrekkelig informasjon slik at han vet hva han samtykker til. Vilkåret må sees i sammenheng med virksomhetens informasjonsplikt. 3.3 Plikt til å informere om lydopptaket Virksomheten skal på eget initiativ informere innringer om at det tas lydopptak. Det betyr at det ikke er tilstrekkelig å informere om at samtalen kan bli tatt opp, når det faktisk blir foretatt lydopptak. Krav i personopplysningsloven 19 er følgende: Når det samles inn personopplysninger fra den registrerte selv, skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på best mulig måte, som f. eks. informasjon om retten til å kreve innsyn, jf. 18, og retten til å kreve retting, jf. 27 og 28. Når det gjelder lydopptak plikter virksomheten i praksis å gi følgende informasjon til innringer: at virksomheten (navnet på behandlingsansvarlig) vil/ønsker å foreta et lydopptak formålet for lydopptaket behandlingsgrunnlaget for opptaket (når behandlingen baseres på samtykke, må det informeres om at det å avgi et samtykke er frivillig) hvor lenge lydopptakene blir lagret Øvrig informasjon som virksomhetens adresse, retten til innsyn og retten til å kreve retting kan virksomheten informere om på virksomhetens nettside. Virksomheten må i den forbindelse informere kunder om at øvrig informasjon er tilgjenglig på virksomhetens nettside. Det finnes visse unntak fra informasjonsplikten og innsynsretten som er hjemlet i personopplysningsloven 23. Unntaksregelen er relativt snever, og det er svært sjelden bestemmelsen vil være anvendelig for lydopptak. 3.4 Rett til innsyn i lydopptaket 3

4 Den registrerte har rett til å gjøre innsyn i lydopptak, jf. personopplysningsloven. 18 annet ledd. I utgangspunktet kan den registrerte kreve en skriftlig kopi hos den behandlingsansvarlige eller dennes databehandler, jf. lovens 24. Datatilsynet forstår bestemmelsen slik at den registrerte kan kreve en transkripsjon av lydopptaket. Dette kan være både tid- og ressurskrevende for virksomheten, og Datatilsynet har i praksis akseptert at innsynsretten oppfylles ved at virksomheten utleverer opptaket som en lydfil. Lydfilen som sendes til den registrerte må være av et alminnelig brukt standardformat. Den behandlingsansvarlige plikter å besvare innsynsbegjæringen fra den registrerte senest innen 30 dager fra henvendelsen ble mottatt, jf. lovens Sletting av lydopptak Lydopptakene skal slettes når formålet med behandlingen er oppfylt, jf. personopplysningsloven 28. Virksomheten må vurdere denne regelen konkret, delvis basert på egne erfaringer. Det betyr at virksomheten til enhver tid må vurdere om det virkelig er nødvendig å fortsatt lagre opptakene. Se mer under de enkelte eksemplene nedenfor. 3.6 Lydopptaket må oppbevares sikkert Opptakene må oppbevares i tråd med kravene til informasjonssikkerhet som følger av personopplysningsloven 13 og personopplysningsforskriften kapittel 2. Blant annet må virksomheten sørge for tilfredsstillende sikring av opptakene for å unngå uautorisert tilgang. 4 Lydopptak i ulike situasjoner Lydopptak kan være aktuelt i mange ulike situasjoner. Dersom opptakene skjer der det foreligger et ansettelsesforhold, må det tas hensyn til personvernet både til den ansattes og kunden som deltar i telefonsamtalen. Nedenfor følger noen eksempler på tilfeller hvor lydopptak kan være aktuelt: 4.1 Nødnummer-samtaler Opptak av anrop til nødsentraler vil kunne hjemles i personopplysningsloven 8 bokstav f) for behandling av opplysninger om de ansatte sin del. Bestemmelsen sier at et opptak kan iverksettes dersom den ansvarlige skal ivareta en berettiget interesse og hensynet til den enkeltes personvern ikke overstiger denne interessen. Her må behovet for effektivt å dokumentere de opplysninger som kommer inn til nødsentralen veies opp mot hensynet til innringer og de ansattes personvern. Den ansatte må få informasjon om formålet med opptakene, samt rutiner for lagring og sletting av opplysningene. Når det gjelder innringerne, vil samtykke være upraktisk, fordi det handler om helt spesielle situasjoner der liv eller helse kan stå på spill. Relevant behandlingsgrunnlag kan være behandling av personopplysninger for å ivareta den enkeltes vitale interesser, jf. 8 bokstav c. I slike tilfeller kan det også være aktuelt å gjøre unntak fra informasjonsplikten av hensyn til den enkelte. Opptakene skal ikke oppbevares lenger enn det som er nødvendig ut fra formålet. Nødsentralen må derfor vurdere hvor lenge lagring av opptakene anses nødvendig, og ha rutiner for regelmessig sletting. 4.2 Kvalitetssikring, oppfølging og opplæring av arbeidstakere 4

5 På visse vilkår kan arbeidsgiver i kraft av sin styringsrett beslutte at det skal gjennomføres lydopptak av de ansatte. Opptak av ansattes samtaler vil i utgangspunktet ikke kunne baseres på et samtykke fra den enkelte fordi arbeidstakere sjeldent vil oppleve en reell frivillighet i slike sammenhenger, jf. 8 første ledd. Arbeidsgiver skal i alle tilfeller benytte det minst inngripende tiltaket overfor den ansatte. Når formålet for lydopptaket er opplæring eller oppfølging av ansatte, vil man som regel kunne benytte alternative metoder, enn å foreta lydopptak, som for eksempel medlytt. Det vil si at den som står for opplæringen lytter til samtalen mens den pågår, uten at det blir foretatt lydopptak. Hvis formålet kan oppnås ved hjelp av medlytt, skal denne metoden alltid benyttes fremfor avlytting eller opptak. I de fleste tilfeller vil medlytt ikke omfattes av personopplysningsloven, ettersom det ikke behandles personopplysninger i lovens forstand. Dersom lydopptak fremstår som den eneste egnede metoden vil arbeidsgiver i kraft av sin styringsrett kunne pålegge lydopptak overfor ansatte. Lydopptak av ansatte vil i slike tilfeller kunne hjemles i personopplysningsloven 8 bokstav f. 4.3 Dokumentasjon av avtaleinngåelse Slike lydopptak skal baseres på samtykke fra den avtalen inngås me. Det må da klart fremkomme hva som er formålet med opptakene og hvor lenge de oppbevares. Virksomheten må gjøre en konkret vurdering i hvert enkelt tilfelle. For at samtykket skal være frivillig, forutsettes det at den registrerte har valget mellom å bekrefte avtalen per sms, skriftlig eller si ja til lydopptak. I enkelte tilfeller vil det være praktisk umulig å innhente et frivillig samtykke, her kan lovens 8 bokstav f) være et alternativ. Ved bestilling av drosje vil det for eksempel være upraktisk å dokumentere avtalen på annen måte enn ved opptak. Når avtalen er bekreftet skriftlig, eller det er uomtvistet at avtale er inngått mellom partene, vil man normalt ikke ha behov for fortsatt oppbevaring av opptakene. De må da slettes. Lydopptak er direkte lovhjemlet i ett tilfelle: Lov om verdipapirhandel 9-7, samt tilhørende forskrift. I henhold til dette regelverk har alle verdipapirforetak en plikt til å foreta opptak i forbindelse med kjøp og salg av verdipapirer. 1 Datatilsynet gjør oppmerksom på at lydopptak ikke alltid vil være tilstrekkelig dokumentasjon for at det er inngått avtale med det innhold selger påberoper seg. Dette reguleres i utgangspunktet av avtaleretten, men for enkelte avtaler er det krav om skriftlighet. Dette gjelder blant annet for inngåelse av kredittavtale 2, kraftleveringsavtale 3 og for bytte av teletilbyder Sikkerhetshensyn, for eksempel ved trusler Opptak bør kun gjøres i helt spesielle tilfeller, og kun settes i gang dersom man havner i en reell trusselsituasjon. Medarbeidere som utsettes for trusler i en pågående samtale kan i slike situasjoner 1 Les mer om lydopptak i verdipapirforetak her: 2 Jf. finansavtaleloven 48 første ledd 3 Jf. forskrift nr. 301 av 3. november 1999 til energiloven 2-2 annet ledd 4 Jf. forskrift nr. 401 av 16. februar 2004 til ekomloven 3-6 5

6 igangsette opptak. Det forutsettes at virksomheten har utarbeidet rutiner for hvordan medarbeidere skal håndtere slike samtaler. Eventuelle opptak skal slettes dersom det ikke er aktuelt å bruke dem i etterforskningsøyemed. 6