Innhold. Sikkerhetshensyn Arbeidsmiljøloven Personopplysningsloven Registrering av detaljopplysninger (sensorteknologi)...

Transkript

1 GPS OG SPORING I YRKESBILER Veileder, 2017

2

3 Innhold Arbeidsmiljøloven... 5 Personopplysningsloven... 5 Behandlingsgrunnlag... 5 Klart definert formål... 6 Situasjonene der virksomheter ønsker å spore... 7 Elektronisk kjørebok... 7 Sporing i privatbiler... 7 Krav... 7 Hva er overskuddsinformasjon?... 8 Lagring... 9 Flåtestyring... 9 Øvrige formål... 9 Sikkerhetshensyn... 9 Registrering av detaljopplysninger (sensorteknologi) Informasjonsplikt etter personopplysningsloven Internkontroll Informasjonsplikt etter arbeidsmiljøloven Risikovurdering Sikkerhetsledelse Tilgangsstyring Avvikshåndtering/sikkerhetsbrudd Skal data fra sporingsenheter meldes til Datatilsynet? Databehandleravtale... 13

4

5 5 Innledning Når kan en virksomhet bruke sporingsenheter i sine biler? Det er tema for denne veilederen. Arbeidsgiver oppgir ulike årsaker til at de har behov for å ha en sporingsenhet i virksomhetens egne kjøretøy. Med sporingsenhet menes her en elektronisk innretning som gjør at arbeidsgiver kan registrere eller spore bevegelsene til virksomhetens kjøretøy. Sporingsenheten fører til at arbeidsgiver blant annet kan få detaljert informasjon om posisjonen til kjøretøyet (ofte i sanntid) og dermed også om hvor arbeidstakeren befinner seg. Det er særlig i to sammenhenger at dette spørsmålet kommer opp for både arbeidsgivere og arbeidstakere. Det er i forbindelse med bruk av elektronisk kjørebok, og i tilfeller der arbeidsgiver har et ønske om å kontrollere og ha oversikt over et større antall kjøretøy, såkalt flåtestyring, for å disponere ressursene sine. Datatilsynet har gjort flere kontroller hos virksomheter som benytter GPS og annen teknologi i sine kjøretøy. I denne veilederen støtter vi oss på erfaringer fra kontrollene, fra veiledningssamtaler vi har hatt med virksomhetene og eksempler fra klagesaker tilsynet har hatt til behandling når vi forsøker å belyse problemstillingene arbeidsgivere må ta stilling til ved innføring av sporingsteknologi. Regelverk Arbeidsmiljøloven Innføring av en sporingsenhet i virksomhetens kjøretøy kan betraktes som et kontrolltiltak. Slike tiltak reguleres i kapittel 9 i arbeidsmiljøloven. Arbeidsgiver kan bare iverksette kontrolltiltak overfor arbeidstaker når tiltaket har saklig grunn i virksomhetens forhold og det ikke innebærer en uforholdsmessig belastning for arbeidstakeren. Det slås fast i arbeidsmiljøloven 9-1, første ledd. Personvernnemnda tok i en sak som gjaldt rustesting av ansatte stilling til hvordan personopplysningsloven står i forhold til arbeidsmiljøloven 1. Arbeidsmiljøloven regulerer når det kan iverksettes kontrolltiltak. Når kontrolltiltaket innebærer at det behandles personopplysninger, vil personopplysningsloven regulere den behandlingen. Personopplysningsloven Personopplysninger er i loven definert som opplysninger og vurderinger som kan knyttes til en enkeltperson ( 2). En sporingsenhet vil registrere lokasjonen til virksomhetens kjøretøy. I praksis vil det bety at det blir slått fast hvor den ansatte befinner seg. En slik registrering blir derfor en behandling av personopplysninger. For at personopplysningsloven skal gjelde er det tilstrekkelig at det er snakk om registrering av opplysningene til en enkeltperson. Det er altså ikke avgjørende at personen som spores er ansatt i virksomheten. Loven vil like fullt gjelde for alle uavhengig av organisasjonsform, som for eksempel frilansere som er organisert i enkeltpersonforetak 2. Datatilsynet vurderer først om personopplysningsloven gjelder for behandlingen det gjelder. Datatilsynet må vurdere om det foregår en behandling av personopplysninger hva slags type behandling det er om behandlingen tilfredsstiller kravene i personopplysningsloven 8, 11, 13, 14, og 19. Behandlingsgrunnlag Arbeidsmiljøloven «Personopplysningsloven gjelder for arbeidsgivers behandling av opplysninger om arbeidstakere i forbindelse med kontrolltiltak med mindre annet er fastsatt i denne eller annen lov». 9-1 (2) Det følger av personopplysningsloven at enhver bruk av personopplysninger, som innsamling, registrering, Ot.prp. nr 92 ( ) s.102

6 6 sammenstilling, lagring og utlevering eller en kombinasjon av disse, krever et gyldig behandlingsgrunnlag (se 11 bokstav a og også 8). Den behandlingsansvarlige kan bare behandle personopplysninger dersom den registrerte har samtykket til behandlingen, eller behandlingen er fastsatt i lov. Dette slås fast i 8, som også har en rekke kriterier (a til f) som må være oppfylt også når den som får opplysningene sine registrert, har samtykket. Et samtykke er definert som «en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av personopplysninger om seg selv» (personopplysningsloven 2 nr. 7). Både Datatilsynet og Personvernnemnda har drøftet om et samtykke vil kunne være et gyldig behandlingsgrunnlag når arbeidsgiver ønsker å innføre sporing som kontrolltiltak 3. I praksis viser det seg at ansatte sjelden oppfatter innføring av sporingen som frivillig. I slike tilfeller vil man ikke kunne gi et samtykke, fordi et samtykke per definisjon skal være frivillig. Da vil virksomheten heller ikke ha et gyldig behandlingsgrunnlag. Det er behandlingsansvarliges ansvar å sørge for at det foreligger et gyldig behandlingsgrunnlag etter personopplysningsloven 8. Personopplysningsloven 8 bokstav f benyttes som behandlingsgrunnlag for behandling av personopplysninger fra sporingsenheter som GPSsendere. Virksomheten skal i tråd med denne bestemmelsen gjøre en interesseavveining mellom hensynet til den registrerte på den ene siden, og den som ønsker å behandle personopplysninger på den andre. Klart definert formål Den behandlingsansvarlige kan bare behandle personopplysninger til formål som er saklig begrunnet i virksomheten (personopplysningsloven 11 bokstav b.) Arbeidsgiver må bruke skjønn og utforme kontrollen på en måte som gjør at den ikke oppleves som krenkende. En viss ulempe kan kontrollen kunne medføre arbeidstakeren, men den skal ikke være uforholdsmessig i forhold til formålet. Kontrollen skal heller ikke være vilkårlig eller ha sjikanøs hensikt. Arbeidsgivers styringsrett ovenfor sine arbeidstakere begrenses av et saklighetskriterium. Saklighetskriteriet begrenses igjen av et proporsjonalitetsprinsipp. Med andre ord skal ikke arbeidsgiver kontrollere uten god grunn, og ikke mer enn nødvendig. I vurderingen av om tiltaket er proporsjonalt, skal arbeidsgiver vurdere sin egen fordel ved å innføre kontrolltiltaket opp mot den ulempen det vil medføre for arbeidstakerne. Datatilsynet har gjennom sin kontrollvirksomhet erfart at virksomhetene som har innført en sporingsenhet i sine kjøretøy, angir flere formål for innhentingen av de samme personopplysningene. Det er særlig to formål som nevnes av arbeidsgivere ved innføring av sporingsteknologi i virksomhetens kjøretøyer, og det er elektronisk kjørebok og flåtestyring (se neste avsnitt for mer om dette). Det er i utgangspunktet ikke noe i veien for å ha flere formål ved behandling av personopplysninger. Dersom arbeidsgiver som behandlingsansvarlig har flere formål med sporingen, må man imidlertid være klar over hvilke plikter som følger med for hvert angitt formål. Det er viktig at arbeidsgivere er bevisste på hvorfor de behandler personopplysninger, altså hvilket formål behandlingen har. Det er fordi nye formål kan utløse nye plikter for arbeidsgiver i form av ny informasjons- og drøftelsesplikt (se side 10 om informasjonsplikt etter arbeidsmiljøloven), ny vurdering av behandlingsgrunnlaget (se side 5) ny vurdering av tilgangsstyringen (se side 12). Det er viktig at virksomheter som ønsker å lagre data fra for eksempel elektroniske kjørebøker kan dokumentere hvilke personopplysninger som er relevante ut fra det konkrete formålet. Elektronisk kjørebok: Dokumentasjonsbehov til Skatteetaten: Hvem var sjåfør, hvor kjørte du, antall kilometer. Arbeidsgiver plikter som behandlingsansvarlig å sørge for at personopplysningene som behandles er tilstrekkelige og relevante for formålet, samt å ha rutiner for retting og sletting av opplysningene. Det følger av personopplysningsforskriften 3-1 bokstav c og

7 7 personopplysningsloven 11 d og e, 27 og 28 etterleves. Situasjonene der virksomheter ønsker å spore Elektronisk kjørebok Når en ansatt disponerer arbeidsgivers bil 4, og det er tjenstlig behov for en slik bil, kan virksomheten velge mellom ulike modeller for å beskatte arbeidstakers private bilbruk. Et alternativ for å få fastsatt fordelen med den ansattes privat bruk av arbeidsgivers bil på er gjennom en sjablongmodell (se skatteloven 5-13, med et bunnfradrag i beregningsgrunnlaget, (forskriften for utfylling og gjennomføring av skatteloven 5 ). Forskrift til utfylling og gjennomføring av skatteloven «I arbeidsforhold må kjøreboken administreres av arbeidsgiver, og individuell fastsettelse må være brukt ved beregning av forskuddstrekk mv. Elektronisk kjørebok skal dokumentere total kjørelengde samt total kjørelengde for yrkeskjøring. Differansen mellom total kjørelengde og yrkeskjøring anses som privat bruk.» Det andre alternativet er at fordelen av å bruke arbeidsgivers bil privat beregnes individuelt. Fra inntektsåret 2016 forutsettes det at en slik beregning gjennomføres med en kjørebok som er elektronisk, siden en elektronisk kjørebok anses som «pålitelig dokumentasjon». 6 Den elektroniske kjøreboken vil i utgangspunktet registrere opplysninger om alle bevegelser virksomhetens bil gjør, og til hvilket tidspunkt. Det vil som regel også registrere opplysninger om parkeringstid og hvem som var eller er sjåfør av bilen. Sporing i privatbiler Datatilsynet får noen ganger spørsmål om arbeidsgiver kan pålegge arbeidstaker å installere en sporingsenhet i sin private bil. Dersom man skal få en godtgjørelse fra arbeidsgiver ut fra antall kilometer som er kjørt i arbeidstiden, kan arbeidsgiver gi føringer for hvordan kjøringen skal dokumenteres. Leverandører av systemer for denne typen GPS-sporing har introdusert løsninger hvor den ansatte må godkjenne hva som overføres til arbeidsgiver som yrkeskjøring. Datatilsynet kan vanskelig se at arbeidsgiver kan kreve å få installere en GPS i ansattes privatbiler, særlig når det legges opp til at GPS-en ikke skal skrus av. Datatilsynet anbefaler i stedet at man buker manuell kjørebok eller vurderer om arbeidstaker trenger en firmabil hvis bruken av privatbilen til yrkeskjøring er utstrakt. Krav Hensikten med en elektronisk kjørebok er at arbeidsgiver kan registrere en rekke opplysninger om bilkjøringen, og på den måten dokumentere overfor ligningsmyndighetene at kjøringen har vært yrkesrettet. Arbeidsgiver vil ha et behov for å dokumentere at man har trukket arbeidstaker for riktig trekkskatt ved et eventuelt bokettersyn, og arbeidstaker vil ha behov for å dokumentere at bilen ikke har blitt kjørt privat ved ligningsmyndighetens kontroll av selvangivelsen. Ligningsmyndighetene fastsetter det faktiske grunnlaget for ligningen av både virksomheter og enkeltpersoner etter en vurdering av alle relevante opplysninger (se ligningsloven 8-1). 4 Bilen må oppfylle krav til varebil klasse 2 eller lastebil med tillatt totalvekt mindre enn kg, se forskrift om engangsavgift på motorvogner 2-3 og Se Skattedirektoratets høringsbrev av 7. mai 2015 (Høring forslag om endring vedr bilbeskatning) 5 Forskrift til utfylling og gjennomføring mv. av skatteloven av 26. mars 1999 nr. 14

8 8 å registrere bilens hastighet eller hvor hardt sjåføren presser på pedalene. 7 Ligningens ABC I Ligningens ABC for (Bil fradrag for bilkostnader pkt. 6.2) står følgende om kjørebok: «En slik kjørebok må fortløpende og daglig registrere bruken av bil i yrket. Den må angi utgangspunktet for dagens kjøring, hvilket firma, byggeplass eller lignende som er besøkt, hvor kjøringen avsluttes og kjørelengden ifølge kilometertelleren. Det totale antall kilometer må minst hver måned avleses fra kilometertelleren og anføres i boken.» Hva er overskuddsinformasjon? En problemstilling som en virksomhet må ta stilling til når de skal ta i bruk elektronisk kjørebok, er om det samles inn for mye personopplysninger i forhold til det formålet som er oppgitt. Hvilke personopplysninger kan sees som overflødig overskuddsinformasjon i en slik situasjon? Spørsmålet må vurderes ut fra det klart definerte formålet som virksomheten har angitt. Når formålet er å oppfylle dokumentasjonsplikten etter skattelovgivningen, blir spørsmålet hvilke personopplysninger pliktes det å dokumentere etter dette regelverket. Kjennskap til skattelovgivningens krav til dokumentasjon vil derfor være nødvendig for å kunne avgjøre om en personopplysning er relevant. Øvrige personopplysninger som registreres må etter dette betegnes som personopplysninger som ikke er relevante eller nødvendige for å oppfylle formålet med behandlingen (overskuddsinformasjon). Et sentralt spørsmål er om en behandling av slik overskuddsinformasjon vil stride mot reglene etter personopplysningsloven. Arbeidsgiver skal sørge for at de personopplysninger som behandles er tilstrekkelige og relevante ut fra det angitte formålet (se personopplysningsloven 11 bokstav d). Et eksempel vil være når en virksomhet innfører elektronisk kjørebok for å tilfredsstille kravet til dokumentasjonsplikt for yrkeskjøring. I et slikt tilfelle vil det ikke være relevant Overskuddsinformasjon kan i denne sammenhengen defineres som personopplysninger som ikke er relevante for formålet. Personopplysningsloven begrenser arbeidsgivers mulighet til å behandle slike personopplysninger. En arbeidsgiver har derfor ikke adgang til å behandle personopplysninger som ikke er relevante. En annen problemstilling er om arbeidsgiver kan bruke de personopplysningene som er innhentet for å oppfylle dokumentasjonskravet for yrkeskjøring til et annet formål. Med andre ord: Kan personopplysningene gjenbrukes? Personopplysningsloven vil her begrense arbeidsgiver ytterligere, siden personopplysninger ikke kan brukes til andre formål som er uforenlige med det opprinnelige, uten at den registrerte samtykker (se 11 bokstav c). 8 Som arbeidsgiver må du selv vurdere hva som skal forstås som uforenlig med det opprinnelige innsamlingsformålet i hvert enkelt tilfelle. Det skal telle med i vurderingen hvor sterkt den nye bruken skiller seg fra den opprinnelige, om den senere bruken tilfører den registrerte større ulemper Personopplysningsloven Den behandlingsansvarlige skal ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Hvis ikke personopplysningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes. Personopplysningsloven 28 7 Behandlingen vil heller ikke være nødvendig for å oppfylle formålet (personopplysningsloven 8 bokstav f). 8 Samtykke er ikke særlig praktisk i et arbeidsforhold. Se del om behandlingsgrunnlag.

9 9 eller om ny bruk stiller strengere krav til datakvalitet enn det opprinnelige innsamlingsformålet. 9 Et eksempel på uforenlige formål er når en arbeidsgiver bruker data fra sporingsenheten til å kontrollere de ansattes timelister, selv om enheten er satt inn i bilen med det formål å dokumentere at kjøretøyet er blitt kjørt i jobbsammenheng. Arbeidsgivers sammenstilling av slike timelister opp mot data fra sporingsenheten er en behandling som er uforenlig med det opprinnelige formålet. 10 Lagring Bestemmelsen i personopplysningsloven 28 reiser to spørsmål: Hvor lenge er det nødvendig å lagre personopplysningene for å gjennomføre formålet? Er lagring av personopplysningene regulert i annen lovgivning? Formålet med lagringen er å dokumentere at bilen kun er kjørt i jobbsammenheng. En naturlig tolkning vil etter dette være at man har gjennomført formålet når behovet for å dokumentere dette opphører. Lovgivningen har etter Datatilsynets kjennskap ikke eksplisitte hjemler om dokumentasjonsplikt. Systemet bygger imidlertid på den forutsetning at skattyter lagrer personopplysningene for å kunne ivareta sin tarv. Skattyters behov for å ivareta sin tarv, vil i utgangspunktet strekke seg parallelt med skattekontorenes adgang til å foreta bokettersyn eller lignende kontroller. Bokføringsloven regulerer hva som anses som oppbevaringspliktig regnskapsmateriale, og bidrar i så måte til å besvare spørsmålet om personopplysningene er regulert i annen lovgivning. Bokføringslovens 13 første ledd angir hva som anses som oppbevaringspliktig regnskapsmateriale, mens annet ledd angir oppbevaringstiden. Loven angir at regnskapsmateriale skal oppbevares i fem år etter regnskapsårets slutt. Flåtestyring Flåtestyring er også basert på GPS-teknologi. Sporingsenheter brukes for at arbeidsgiver skal ha oversikt over hvor alle kjøretøyene i bilparken er til enhver tid, og brukes ofte av budbilfirmaer og taxisentraler slik at de kan sende nærmeste bil til kunden. Det skal ikke være nødvendig å lagre personopplysninger for at virksomheten skal ha den nødvendige oversikten. De eneste personopplysningene det vil være relevant å registrere i slike tilfeller er bilens, og da også sjåførens, lokasjon i sanntid. Arbeidsgiver bør velge løsninger som tilfredsstiller den ansattes behov for å kunne bevege seg privat i de tilfellene hvor man har rett til å gjøre visse private ærend i arbeidstiden. Dette kan for eksempel bety en mulighet til å slå av sporingsenheten ved legebesøk eller lignende. Når data brukes til å gjøre driften rasjonell Det har vist seg at arbeidsgiver får et behov for å lagre data fra flåtestyringen for å kunne vurdere om organiseringen av bilparken er fornuftig eller optimal. Dataene fra flåtestyringen vil da brukes til å vurdere en omorganisering eller restrukturering av virksomhetens drift. Etter et slikt formål vil man i utgangspunktet kunne lagre slike opplysninger anonymt, men i praksis kan det være praktisk eller teknisk vanskelig. Spørsmålet om en arbeidsgiver har anledning til å innføre et slikt kontrolltiltak, må vurderes på bakgrunn av en konkret interesseavveining (se personopplysningsloven 8 bokstav f og vår artikkel om man kan behandle opplysninger uten samtykke). Momenter som det må tas hensyn til er blant annet hvor maktpåliggende kontrolltiltaket er for virksomheten, hvor lenge personopplysningene blir lagret og de tillitsvalgtes og øvrige ansattes syn på registreringen. Det kan være vanskelig for den enkelte virksomhet å avgjøre om egeninteressen i å behandle opplysninger veier tyngre enn hensynet til den registrerte. Datatilsynet vil ha et særlig ansvar for å gi råd og veiledning om den interesseavveiningen som må foretas (personopplysningsloven 42 tredje ledd nr 6). Øvrige formål Sikkerhetshensyn Enkelte virksomheter ønsker å innføre sporingsteknologi for å vite hvor bilen er i tilfelle bilen er blitt stjålet, eller arbeidstakeren blir utsatt for et ran og utløser alarm selv. Virksomheten innfører gjerne slike sporingsenheter etter 9 Ot prp 92 ( ) s Datatilsynet kom frem til en lignende konklusjon i saken mot Avfallsservice, behandlet i Personvernnemnda som sak PVN , se lenke;

10 10 forslag fra sine ansatte, dette vil typisk være i sektorene for langtransport og verdisikring. Formålet vil være både å verne om virksomhetens materielle verdier, og å sikre at de ansatte får nødvendig assistanse ved behov. Slike formål vil ikke innebære at bilens lokasjon blir kontinuerlig registrert av arbeidsgiver. Bilens lokasjon vil først bli registrert når de nevnte situasjoner inntrer. Sporingsteknologi brukt under slike forutsetninger blir ikke behandlet i denne veilederen. Hvis innretningen registrerer lokasjonen til kjøretøyet kontinuerlig, vil det imidlertid kunne være et kontrolltiltak, og arbeidsgiver vil da måtte overholde de plikter som regelverket pålegger. 11 Registrering av detaljopplysninger (sensorteknologi) Enkelte sporingsenheter kan registrere til dels svært detaljerte personopplysninger. Det kan for eksempel være hvor hardt sjåføren tråkker på gass- eller bremsepedalen, hvor mye bilen står på tomgang, om sjåføren foretar en krapp sving, bilens hastighet eller drivstofforbruk eller hvilke gravitasjonskrefter som kjøretøyet utsettes for. I Datatilsynet har vi i våre vurderinger lagt vekt på at registrering av detaljopplysninger oppleves som et inngripende tiltak av sjåførene. Vi har vært skeptiske til at arbeidsgivere skal kunne behandle detaljopplysninger fra sporingsenheter uten vektig grunnlag. Arbeidsgivere som ønsker å registrere slike personopplysninger må ha et behandlingsgrunnlag (se personopplysningsloven 8). Det hender at arbeidsgivere ikke er klar over hvilke registreringsmuligheter som ligger i de løsningene som er blitt anskaffet. Det foreligger derfor en potensiell mulighet for at virksomheter registrerer eller har muligheten til å registrere slike detaljopplysninger. Datatilsynet vil i den anledning minne om at arbeidsgiver som behandlingsansvarlig er forpliktet til å ha en oversikt over hvilke personopplysninger sporingsenheten registrerer, og at de personopplysningene er nødvendige for et uttrykkelig angitt formål. Datatilsynet mottar stadig henvendelser fra virksomheter som ønsker å registrere detaljerte opplysninger om sjåførens kjøring. Det kan være at det stilles som et kontraktsvilkår eller at det er en forutsetning for å vinne en anbudskonkurranse, for eksempel for å vinne kontrakten om busskjøring i et visst område. Selv om det finnes andre parter som krever at det registreres detaljerte personopplysninger, er arbeidsgiver den behandlingsansvarlige, det vil si den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes (personopplysningsloven 2 nr. 4). Virksomheten får ikke større adgang til å behandle detaljopplysninger dersom de har inngått en avtale eller vunnet en anbudskonkurranse der de forplikter seg til å utlevere den type personopplysninger. Informasjonsplikt Informasjonsplikt etter personopplysningsloven Ved innføring av sporingsteknologi i virksomhetens kjøretøy har arbeidsgiver en plikt til å informere sine ansatte om at det samles inn opplysninger om dem (personopplysningsloven 19 og 20). Arbeidsgiver skal uoppfordret informere arbeidstakerne blant annet om formålet med behandlingen, om opplysningene vil bli utlevert, og eventuelt til hvem. Videre plikter arbeidsgiver å informere om annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven på best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, ( 18). Det stilles ingen formkrav til hvordan informasjon til den registrerte skal gis. Det kan i noen situasjoner være et poeng at informasjonen blir gitt skriftlig. Informasjonen skal formidles på en klar, entydig og lettfattelig måte. En skriftlig formidling vil bidra til at informasjonen blir forståelig samtidig som den behandlingsansvarlige har dokumentasjon på at informasjonsplikten er overholdt. Manglende dokumentasjon på at informasjonsplikten er overholdt kan tolkes i virksomhetens disfavør, når arbeidstaker(e) har en avvikende oppfatning om hva det ble informert om. Vi anbefaler en praksis der virksomheten gir informasjon skriftlig samtidig som de ansatte bes om signere på at de har mottatt informasjonen. Internkontroll Virksomheten har plikt til å etablere og holde ved like planlagte og systematiske tiltak som er nødvendig for å oppfylle kravene i personopplysningsloven ( 14). 11 Se problemstillingen rundt alarmtjeneste ved bilulykker, såkalt e-call,

11 11 Bestemmelsen er utdypet i personopplysningsforskriften kapittel Virksomheters bruk av sporingsenheter vil generere store mengder med personopplysninger. Virksomheten må derfor forut for behandlingen ha implementert et system som tar høyde for de plikter som regelverket pålegger dem. Med kravet om «planlagte og systematiske tiltak» vil det ofte være hensiktsmessig med en tredeling i internkontrollen: En styrende del, som sikrer forhold som plassering av ansvar etter personopplysningsloven, oversikt over behandlinger med behandlingsgrunnlag, og identifisering av plikter; en gjennomførende del, som inneholder de nødvendige rutinene for utførelsen; og til slutt en kontrollerende del, hvor det følges opp at rutinene følges og at de er hensiktsmessige. Her forventes avvikshåndtering, egenkontroller og revisjoner av virksomhetens rutiner. For virksomheter som ønsker å følge regelverket, vil det være av betydning at virksomheten har bevissthet rundt hvilke regler som regulerer deres behandling av personopplysninger. Når virksomheten har innført en sporingsenhet for å føre elektronisk kjørebok, vil det for eksempel være nødvendig å etablere rutiner for å fange opp eventuell privat kjøring. For eksempel bør man gjennomgå kjøreboken for å kontrollere at kjøretøyet ikke har blitt kjørt privat. Hvor ofte og på hvilken måte en slik gjennomgang skal utføres, er noe den enkelte virksomhet må ta stilling til. Den behandlingsansvarlige skal i tråd med personopplysningsloven 14 dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeidere hos den behandlingsansvarlige og eventuelt hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda. Pliktene etter personopplysningsloven 14 har til hensikt å sikre en systematisk etterlevelse av relevante bestemmelser i regelverket. Likevel må virksomheten selv ha en gjennomgang hvor den vurderer egne behandlinger og hvilke plikter de utløser. Informasjonsplikt etter arbeidsmiljøloven Arbeidsgiver plikter så tidlig som mulig å drøfte behov, utforming, gjennomføring og vesentlig endring av kontrolltiltak i virksomheten med arbeidstakernes tillitsvalgte (se arbeidsmiljøloven 9-2 første ledd). Begrepet «drøfting» innebærer at det er arbeidsgiver som ved uenighet bestemmer tiltaket innenfor arbeidsmiljølovens rammer. Drøftings- og informasjonsplikten knytter seg til systemer for kontroll og overvåking som virksomheten bruker. Et spesifikt tilfelle der virksomheten vil kontrollere arbeidstakere medfører ikke drøftingsplikt dersom tiltaket har vært drøftet tidligere. Personopplysningsloven vil her utfylle arbeidsmiljølovens regler. Det er verdt å merke at arbeidsgiverplikter etter arbeidsmiljøloven inntrer før personopplysningsloven sine regler, siden en arbeidsgiver så tidlig som mulig plikter å drøfte kontrolltiltaket. Før tiltaket iverksettes, skal arbeidsgiver gi de berørte arbeidstakerne informasjon om formålet med kontrolltiltaket, praktiske konsekvenser av kontrolltiltaket og hvordan det vil bli gjennomført, og kontrolltiltakets antatte varighet (9-2 annet ledd). Interesseavveining Når personopplysningene behandles etter interesseavveining (personopplysningsloven 8 bokstav f), vil de ansattes standpunkt til kontrolltiltaket være et av momentene som må vurderes i avveiningen. Det er av den grunn svært viktig at de ansatte blir informert om arbeidsgivers planer på et tidlig tidspunkt. De ansattes synspunkter vil være et av flere momenter i vurderingen, og behøver ikke å få avgjørende betydningen for om et kontrolltiltak kan innføres eller ikke.

12 12 Arbeidsgiver har også plikt til å evaluere behovet for kontrolltakene som settes i verk. Dette skal skje i samråd med arbeidstakernes tillitsvalgte ( 9-2 tredje ledd). Hensikten med evalueringen av kontrolltiltaket er å undersøke om de behov som opprinnelig førte til tiltaket fremdeles er tilstede. Hvis behovet ikke lenger er til stede, må tiltaket opphøre. Evalueringsplikten vil til dels samsvare med personopplysningsforskriften 3-1 bokstav b. Informasjonssikkerhet Etter personopplysningsloven 13 og personopplysningsforskriftens kapittel 2 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Risikovurdering Det skal føres en oversikt over hvilke personopplysninger som behandles. Det følger av personopplysningsforskriften 2-4. Opplysningene skal kategoriseres etter hvor beskyttelsesverdige de er med hensyn til konfidensialitet, integritet og tilgjengelighet. På bakgrunn av dette skal det gjennomføres en risikovurdering for å kartlegge sannsynlighet for og konsekvenser av sikkerhetsbrudd. Virksomheten skal selv fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. Resultatet av risikovurderingen skal dokumenteres. Sikkerhetsledelse Formålet med behandlingen av personopplysninger og overordnede føringer for bruk av informasjonsteknologi skal beskrives i sikkerhetsmål. Dette er et krav i personopplysningsforskriften 2-3. Valg og prioriteringer skal beskrives i et sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig gjennomgås for å kartlegge om den er hensiktsmessig i forhold til virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Tilgangsstyring Det følger av personopplysningsloven 13 (se også personopplysningsforskriften 2-13 og 2-14) at den behandlingsansvarlige skal sikre at personopplysninger er utilgjengelig for uvedkommende. Det er et sentralt element i personvernet at ingen skal gis tilgang til flere personopplysninger enn det som er nødvendig for å utøve sitt arbeid. Arbeidsgiver må etter dette ta stilling til hvem i virksomheten som skal ha tilgang til de personopplysninger som sporingsenheten genererer. Hvis sporingsenheten har flere formål, må virksomheten vurdere tilgangsstyringen for hvert enkelt formål. Tilgangsstyringen skal evalueres jevnlig. Avvikshåndtering/sikkerhetsbrudd Hva er et avvik? Hvordan skal avvik rapporteres og følges opp i virksomheten? Dette er sentrale spørsmål som skal stilles og besvares i rutinen virksomheten skal ha utarbeidet for avvikshåndtering (personopplysningsforskriften 2-6). Rutinen skal være informert om og tilgjengelig for ansatte i virksomheten. I de tilfeller hvor avvik har forårsaket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal avviket meldes til Datatilsynet. Skal data fra sporingsenheter meldes til Datatilsynet? Fra 1. januar 2017 er ikke behandling av personopplysninger i elektronisk kjørebok og flåtestyring meldepliktig dersom formålet med behandlingen er: å dokumentere sjåførens kjøring i jobbsammenheng å gi en oversikt over hvor bilene i bilparken er, slik at virksomheten kan bruke sine ressurser på en effektiv måte. Ifølge personopplysningsloven 31 skal den som behandler personopplysninger ellers gi melding til Datatilsynet. Den som ønsker å behandle sensitive personopplysninger må søke konsesjon fra Datatilsynet. Melding skal gis før behandlingen settes i gang og skal inneholde en rekke opplysninger som er listet opp i personopplysningsloven 32. Det finnes flere unntak fra melde- og konsesjonsplikten som hovedsakelig er hjemlet i personopplysningsforskriften kapittel 7. I vurderingen av om den aktuelle behandlingen er fritatt for melde- og konsesjonsplikt, tas det utgangspunkt i hvem den behandlingsansvarlige er. Det vil si hvilken rolle behandlingsansvarlig har, og til hvilket formål personopplysningene blir behandlet. I vurderingen av om en arbeidsgivers behandling av personopplysninger er meldepliktig må det derfor tas

13 13 utgangspunkt i det uttrykkelig angitte formålet som den enkelte arbeidsgiver behandler personopplysningene etter (se personopplysningsloven 11 bokstav b). En arbeidsgiver trenger ikke melde ikke-sensitive personalopplysninger. Dette er gitt i personopplysningsforskriften Med personalopplysninger menes personopplysninger som arbeidsgiver har behov for å registrere i tilknytning til administrering av arbeidsforholdet. Databehandleravtale En databehandler er i personopplysningsloven definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige ( 2 nr 5). En arbeidsgiver kan for eksempel ha en IT-leverandør som databehandler. I tråd med personopplysningsloven 15 kan ikke en databehandler råde over personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. I avtalen skal det også gå fram at databehandleren plikter å gjennomføre slike sikringstiltak som følger av 13 om informasjonssikkerhet. For at databehandler skal kunne lagre personopplysninger på vegne av den behandlingsansvarlige må det altså være opprettet en skriftlig avtale mellom disse som regulerer forholdet. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, og for å verne personopplysningene som behandles på vegne av den behandlingsansvarlige (personopplysningsloven 13). Datatilsynet viser til tilsynets veileder om databehandleravtalen. Veilederen dekker hvordan hovedelementene i en databehandleravtale bør være. For mer om informasjonssikkerhet, internkontroll og andre viktige sider av denne veilederen, se Datatilsynets nettsider: Sjekkliste for arbeidsgivere Bevissthet. Vet du hvilke regler som regulerer bruken av personopplysninger i bedriften din? Les om regelverk først i denne veilederen. Informasjonsplikt. Har du informert dine ansatte om at det introduseres sporing i kjøretøyet/kjøretøyene? Kjørebok. Har du etablert rutiner for privat kjøring? Se side 9. Flåtestyring. Har du sørget for at flåtestyringsverktøyet ditt kun registrerer opplysninger i sanntid? Internkontroll. Har du dokumentert rutinene i bedriften? Har du behandlingsgrunnlag for å behandle sjåførens personopplysninger? Har du en databehandleravtale med leverandøren av sporingstjenesten?

14 Besøksadresse: Tollbugata 3, 0152 Oslo Postadresse: Postboks 8177 Dep., 0034 Oslo Telefon: datatilsynet.no personvernbloggen.no