Bruk av sporingsteknologi i virksomheters kjøretøy

Transkript

1 Bruk av sporingsteknologi i virksomheters kjøretøy (januar 2012) Innhold 1. Innledning Regelverk Arbeidsmiljøloven Personopplysningsloven Behandlingsgrunnlag Klart definert formål Elektronisk kjørebok... 5 Krav... 5 Formål... 5 Lagring... 7 Lagring i tråd med formålet... 7 Lagring etter lov Flåtestyring Rasjonalisering Øvrige formål... 8 Sikkerhetshensyn... 8 Registrering av detaljopplysninger (sensorteknologi) Informasjonsplikt Informasjonsplikt etter personopplysningsloven Informasjonsplikt etter arbeidsmiljøloven Internkontroll Informasjonssikkerhet Risikovurdering Sikkerhetsledelse Tilgangsstyring Avvikshåndtering/sikkerhetsbrudd Meldeplikt Databehandleravtale

2 1. Innledning Arbeidsgiver påberoper seg av ulike årsaker et behov for å kunne innføre en sporingsenhet i virksomhetens egne kjøretøy. Med sporingsenhet menes her en elektronisk innretning som muliggjør at arbeidsgiver kan registrere/spore bevegelsene til virksomhetens kjøretøy. Sporingsenheten fører til at arbeidsgiver blant annet kan få detaljert informasjon om posisjonen til kjøretøyet (ofte i sann tid) og dermed hvor arbeidstakeren befinner seg. I denne veilederen vil det redegjøres nærmere for når en virksomhet har anledning til å bruke sporingsenheter i virksomhetens kjøretøy, samt hvilken fremgangsmåte som vil være i tråd med regelverket. Datatilsynet har siden høsten 2009 foretatt flere kontroller hos virksomheter som benytter GPS og annen teknologi i virksomheters kjøretøy. Erfaringer fra kontrollene samt eksempler fra klagesaker tilsynet har hatt til behandling vil bli brukt til å belyse de ulike problemstillingene som arbeidsgivere må ta stilling til, ved innføring av sporingsteknologi. 2. Regelverk 2.1. Arbeidsmiljøloven Innføring av en sporingsenhet i virksomhetens kjøretøy kan anses som et kontrolltiltak, som reguleres i kapittel 9 i lov av 17. juni 2005 nr. 62 om arbeidsmiljø, arbeidstid og stillingsvern mv. (arbeidsmiljøloven). Det følger av arbeidsmiljøloven 9-1 (1) at arbeidsgiver bare kan iverksette kontrolltiltak overfor arbeidstaker når tiltaket har saklig grunn i virksomhetens forhold og det ikke innebærer en uforholdsmessig belastning for arbeidstakeren. Etter annet ledd heter det at «personopplysningsloven gjelder for arbeidsgivers behandling av opplysninger om arbeidstakere i forbindelse med kontrolltiltak med mindre annet er fastsatt i denne eller annen lov.» Personvernnemnda tok stilling til hvordan personopplysningsloven forholder seg til arbeidsmiljølovens bestemmelse i sak som gjaldt rustesting av ansatte ( pkt 6.2.1) 1. «Anvendelsen av arbeidsmiljøloven og personopplysningsloven fremstår som prinsipielt forskjellig: Arbeidsmiljølovens bestemmelser regulerer hvorvidt arbeidsgiver kan iverksette det kontrolltiltak som slike prøver representerer.» Videre sies det «De to lovene vil i slike tilfeller som i nærværende sak, regulere to sider av det samme spørsmålet. Det ville gi liten sammenheng i lovverket om man antok at det var tillatt å iverksette en medisinsk undersøkelse etter arbeidsmiljølovens bestemmelser, men ikke tillatt å behandle opplysningene etter personopplysningsloven og vice versa. Personvernnemnda legger denne forståelse til grunn for sin behandling av saken.» 1 2

3 Personopplysningsloven får etter dette anvendelse på kontrolltiltak som kommer inn under lovens anvendelsesområde Personopplysningsloven Begrepet personopplysning er definert i lovens 2 nr. 1 som opplysninger og vurderinger som kan knyttes til en enkeltperson. En sporingsenhet vil registrere lokasjonen til virksomhetens kjøretøy, i praksis vil det medføre at lokasjonen til den ansatte blir fastslått. En slik registrering blir således å anse som en behandling av personopplysninger. Det er ikke avgjørende for personopplysningsloven at man er ansatt i virksomheten. I den grad opplysninger om et enkeltpersonsforetak ikke bare kan knyttes til foretaket, men til en fysisk person som driver foretaket, vil de omfattes av loven. 2 Forutsatt at behandlingen av personopplysninger kommer innenfor personopplysningslovens saklige virksomhetsområde, jf. lovens 3, må Datatilsynet vurdere om et kontrolltiltak tilfredsstiller kravene i personopplysningsloven, deriblant bestemmelsene i lovens 8, 11, 13, 14, 19 og Behandlingsgrunnlag Det følger av personopplysningsloven 11 bokstav a, jf. 8 at enhver bruk av personopplysninger, herunder innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av disse, krever et gyldig behandlingsgrunnlag. Etter personopplysningsloven 8 kan den behandlingsansvarlige bare behandle personopplysninger dersom den registrerte har samtykket til behandlingen, behandlingen er fastsatt i lov eller et av nødvendighetskriteriene i bokstav a) til f) er oppfylt. Etter personopplysningsloven 2 nr. 7 er et samtykke definert som «en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av personopplysninger om seg selv.» I både Datatilsynets og Personvernnemnda sine avgjørelser er det drøftet om hvorvidt et samtykke vil kunne være et gyldig behandlingsgrunnlag i arbeidsforhold, all den tid kravet til frivillighet vanskelig kan anses oppfylt, se for eksempel PVN I praksis viser det seg at dette vilkåret sjeldent er oppfylt, særlig når det gjelder innføringen av et kontrolltiltak. Dette må imidlertid vurderes konkret for hvert enkelt tilfelle. Det er behandlingsansvarliges ansvar å påse at det foreligger et gyldig behandlingsgrunnlag etter personopplysningsloven 8. For alle praktiske formål er det personopplysningsloven 8 bokstav f) som benyttes som behandlingsgrunnlag for behandling av personopplysninger fra sporingsenheten. Det skal foretas en interesseavveining mellom hensynet til den registrerte på den ene siden, og den som ønsker å behandle personopplysninger på den andre, jf. personopplysningslovens 8 bokstav f). 2 Ot.prp. nr 92 ( ) s.102 3

4 Klart definert formål Personopplysningsloven 11 oppstiller grunnkrav for behandling av personopplysninger. Den behandlingsansvarlige kan etter bestemmelsen kun behandle personopplysninger til uttrykkelig angitte formål som er saklig begrunnet i virksomheten, jf. bestemmelsens bokstav b). Kontrolltiltaket må således være egnet til å fremme formålet med behandlingen og være saklig i forhold til dette behovet. I denne sammenheng må arbeidsgiver kunne utvise en viss grad av skjønn. Kontrollen skal ikke være krenkende. En viss ulempe kan kontrollen kunne medføre arbeidstakeren, men den skal ikke være uforholdsmessig i forhold til formålet. Kontrollen skal heller ikke være vilkårlig eller ha sjikanøs hensikt. Arbeidsgivers styringsrett ovenfor sine arbeidstakere begrenses av et saklighetskriterium. Saklighetskriteriet begrenses igjen av et proporsjonalitetsprinsipp, dvs. at det kontrolltiltaket som arbeidsgiver foretar ovenfor de ansatte må være av en slik karakter at det ikke står i misforhold til det godet som arbeidsgiver oppnår ved innføringen av kontrolltiltaket. Datatilsynet har gjennom sin kontrollvirksomhet erfart at virksomhetene som har innført en sporingsenhet i sine kjøretøy, angir flere formål for innhentingen av de samme personopplysningene. Det er i utgangspunktet ikke noe i veien for å ha flere formål ved behandling av personopplysninger. Det medfører imidlertid at den behandlingsansvarlige må være klar over hvilke plikter som må oppfylles for hvert angitt formål. Det er særdeles viktig at arbeidsgivere er bevist på hvilket formål man har når man behandler personopplysninger. I dét det vil kunne utløse nye plikter for arbeidsgiver (behandlingsansvarlig) i form av ny informasjons- og drøftelsesplikt (se pkt 3), ny vurdering av behandlingsgrunnlaget (se pkt 2.2) samt ny vurdering av tilgangsstyringen (se pkt 5.3). Det er viktig at virksomheter som ønsker å lagre data fra for eksempel flåtestyringssystemer kan dokumentere hvilke personopplysninger som er relevante ut i fra det konkrete formålet. Etter personopplysningsforskriften 3-1 bokstav c), pålegges arbeidsgiver (behandlingsansvarlig) å ha rutiner for å sikre at kravene etter personopplysningsloven 11 d og e, 27 og 28 etterleves. Det vil si at arbeidsgiveren plikter å sørge for at personopplysningene som behandles er tilstrekkelige og relevante for formålet, samt å ha rutiner for retting og sletting av opplysningene. Erfaringsmessig er det særlig to formål som påberopes av arbeidsgivere ved innføring av sporingsteknologi i virksomhetens kjøretøyer, og det er elektronisk kjørebok og flåtestyring. 4

5 Elektronisk kjørebok Arbeidsgiver behandler opplysninger i en elektronisk kjørebok med det formål å oppfylle skattelovgivningens «krav» til dokumentasjon. Den elektroniske kjøreboken vil i utgangspunktet registrere opplysninger om alle bevegelser virksomhetens bil gjør, og til hvilket tidspunkt. Det vil som regel også registrere opplysninger om parkeringstid og hvem som var/er sjåfør av bilen. Krav Det er i utgangspunktet ingen plikt til å føre kjørebok (ei heller i elektronisk form), og skattekontorene kan heller ikke pålegge arbeidsgiver eller arbeidstaker å gjøre det. Ligningsloven 8-1 fastslår prinsippet om at det er ligningsmyndighetene som fastsetter det faktiske grunnlaget for ligningen etter en fri bevisbedømmelse av alle faktiske opplysninger. Arbeidstaker kan ved å registrere en rekke opplysninger om bilkjøringen, dokumentere overfor ligningsmyndighetene at kjøringen har vært yrkesrettet. Arbeidsgiver vil imidlertid ha et behov for å dokumentere at man har trukket arbeidstaker for riktig trekkskatt overfor skattekontoret, ved et eventuelt bokettersyn, og arbeidstaker vil ha behov for å dokumentere at bilen ikke har blitt kjørt privat ved ligningsmyndighetens kontroll av selvangivelsen. Ifølge Ligningens ABC gjeldende for 2009 (Bil fradrag for bilkostnader pkt 6.2) er det skrevet følgende om kjørebok: En slik kjørebok må fortløpende og daglig registrere bruken av bil i yrket. Den må angi utgangspunktet for dagens kjøring, hvilket firma, byggeplass eller lignende som er besøkt, hvor kjøringen avsluttes og kjørelengden ifølge kilometertelleren. Det totale antall kilometer må minst hver måned avleses fra kilometertelleren og anføres i boken. Føring av en elektronisk kjørebok innebærer noen endringer i fra den tradisjonelle kjøreboken. Ved tradisjonell kjørebok fører sjåføren alle opplysninger manuelt i en kjørebok og oppbevarer den selv. Ved elektronisk kjørebok registreres dataene av sporingsenheten og dataene oppbevares enten hos arbeidsgiver eller dennes representant (databehandler). Personopplysningsloven 11 litra b) begrenser arbeidsgivers muligheter til å behandle personopplysningene på en annen måte enn det uttrykkelig angitte formålet (se pkt ovenfor), som i dette tilfelle vil være å oppfylle en antatt dokumentasjonsplikt etter skattelovgivningen. Formål En problemstilling som reiser seg når en virksomhet innfører elektronisk kjørebok er at det samles inn for mye data (personopplysninger) i forhold til det angitte formålet. En underproblemstilling blir så hva slags personopplysninger er å anse som overflødige (overskuddsinformasjon)? 5

6 Spørsmålet må vurderes ut i fra det klart definerte formålet som virksomheten har angitt. Når formålet er å oppfylle dokumentasjonsplikten etter skattelovgivningen, blir spørsmålet hvilke personopplysninger pliktes det å dokumentere etter dette regelverket. Kjennskap til skattelovgivningens krav til dokumentasjon vil derfor være nødvendig for å kunne avgjøre om en personopplysning er relevant, øvrige personopplysninger som registreres, må etter dette betegnes som personopplysninger som ikke er relevante for å oppfylle formålet med behandlingen (overskuddsinformasjon). Spørsmålet blir så om en behandling av slik overskuddsinformasjon vil stride mot reglene etter personopplysningsloven? Arbeidsgiver skal sørge for at de personopplysninger som behandles er tilstrekkelige og relevante ut i fra det angitte formålet, jf. personopplysningsloven 11 litra d). Et illustrerende eksempel vil være at når en virksomhet innfører elektronisk kjørebok for det formål å tilfredsstille kravet til dokumentasjonsplikt for yrkeskjøring, så vil det ikke være relevant å registrere bilens hastighet eller hvor hardt sjåføren presser på pedalene. Overskuddsinformasjon er per definisjon, ut fra det angitte formålet, ikke relevante personopplysninger. Personopplysningslovens 11 litra d) vil følgelig begrense en arbeidsgivers (behandlingsansvarlig) mulighet til å behandle slike personopplysninger. En arbeidsgiver skal derfor ikke behandle personopplysninger som ikke er relevante, og hvis dette har skjedd skal de nevnte opplysninger slettes, når ikke annet følger av annen lovgivning. En annen problemstilling som reiser seg er om arbeidsgiver kan bruke de personopplysningene som er innhentet for å oppfylle dokumentasjonskravet for yrkeskjøring, til et annet formål (gjenbruke personopplysningene)? Personopplysningslovens 11 litra c) vil her begrense arbeidsgiver ytterligere, siden personopplysninger ikke kan brukes til senere formål som er uforenlig med det opprinnelige formålet med innsamlingen, uten at den registrerte samtykker. 3 Hva som skal anses som uforenlig med det opprinnelige innsamlingsformålet, vil måtte avgjøres konkret i det enkelte tilfelle. Etter forarbeidene pekes det på enkelte argumenter som må tas med i vurderingen. Det vil være av betydning hvor sterkt den nye bruken skiller seg fra den opprinnelige, hvorvidt den senere bruken tilfører den registrerte større ulemper eller om ny bruk stiller strengere krav til datakvalitet enn det opprinnelige innsamlingsformålet. 4 Et eksempel som vil kunne anses som et uforenlig formål, er når en arbeidsgiver bruker data fra sporingsenheten som har til formål å dokumentere at kjøretøyet er blitt kjørt yrkesrettet, til å kontrollere den ansattes timelister. Arbeidsgivers sammenstilling av slike timelister opp mot data fra sporingsenheten, vil måtte vurderes som en behandling som er uforenlig med det opprinnelige formålet. 5 3 Samtykke er ikke særlig praktisk i et arbeidsforhold, jf, pkt Ot prp 92 ( ) s Datatilsynet kom frem til en lignende konklusjon i saken mot Avfallsservice, behandlet i Personvernnemnda som sak PVN , se lenke; 6

7 Lagring I personopplysningsloven 28 sies det følgende: Den behandlingsansvarlige skal ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Hvis ikke personopplysningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes. Bestemmelsen reiser to spørsmål: 1. Hvor lenge er det nødvendig å lagre personopplysningene for å gjennomføre formålet? 2. Er lagring av personopplysningene regulert i en annen lovgivning? Lagring i tråd med formålet Formålet med lagringen er for å dokumentere at kjøring av yrkesbilen kun har vært yrkesrettet. En naturlig tolkning vil etter dette være at man har gjennomført formålet når «dokumentasjonsplikten» opphører. Lovgivningen har etter Datatilsynets kjenneskap ikke eksplisitte hjemler om dokumentasjonsplikt. Systemet bygger imidlertid på den forutsetning at skattyter lagrer personopplysningene for å kunne ivareta sitt tarv. Skattyters behov for å ivareta sitt tarv, vil i utgangspunktet strekke seg parallelt med skattekontorenes adgang til å foreta bokettersyn eller lignende kontroller. Lagring etter lov Lov av 19. november 2004 nr. 73 om bokføring (bokføringsloven) regulerer hva som anses som oppbevaringspliktig regnskapsmateriale, og bidrar i så måte til å besvare spørsmålet om personopplysningene er regulert i annen lovgivning. Bokføringslovens 13 første ledd angir hva som anses som oppbevaringspliktig regnskapsmateriale, mens annet ledd angir oppbevaringstiden. Datatilsynet ba Skattedirektoratet avklare spørsmålet om det forelå en lagringsplikt etter bokføringsloven. Skattedirektoratet svarte på tilsynets henvendelse på følgende måte: Når en bokføringspliktige har valgt å oppfylle din dokumentasjonsplikt ved å føre kjørebok, vil kjøreboken bli å regne som oppbevaringspliktig regnskapsmateriale etter bokføringsloven 13 første ledd nr. 3. Dvs. at den skal oppbevares i 10 år etter regnskapsårets slutt, jf. 13 annet ledd. Opplysninger fra den elektroniske kjørebok skal i tråd med Skattedirektoratets tolkning lagres i 10 år Flåtestyring Behov for flåtestyringsverktøy vil typisk forekomme i bransjer hvor man har flere kjøretøy ute i trafikken. Formålet med flåtestyring er å effektivisere virksomheten, 7

8 slik at kostnader reduseres. Virksomhetene benytter sporingsenhet til å få en oversikt over hvor bilene i bilparken er til enhver tid. På den måten kan henvendelser fra kunder betjenes og følges opp på en mest mulig effektiv måte. Med flåtestyring som formål vil det ikke være behov for like inngående detaljopplysning som behandles i forbindelse med elektronisk kjørebok. De eneste relevante personopplysninger vil være registrering av bilenes, og da også sjåførens, lokasjon i sanntid. Arbeidsgiver bør velge løsninger som tilfredsstiller den ansattes behov for å kunne bevege seg privat i de tilfellene hvor man har rett til å gjøre visse private ærend i arbeidstiden. Dette kan for eksempel bety en mulighet til å slå av sporingsenheten ved legebesøk eller lignende. Når formålet med flåtestyring er å få en oversikt over hvor bilene i bilparken er til enhver tid, vil det i utgangspunktet ikke være nødvendig å lagre personopplysningene Rasjonalisering Undertiden har det vist seg at arbeidsgiver får et behov for å lagre data fra flåtestyringen for å kunne vurdere om organiseringen av bilparken er fornuftig eller optimal. Dataene fra flåtestyringen vil da brukes til å vurdere en omorganisering eller restrukturering av virksomhetens drift. Etter et slikt formål vil man i utgangspunktet kunne lagre slike opplysninger anonymt, men i praksis har dette vist seg praktisk eller teknisk vanskelig. Spørsmålet om en arbeidsgiver har anledning til å innføre et slikt kontrolltiltak, må vurderes på bakgrunn av en konkret interesseavvegning, jf. personopplysningsloven 8 bokstav f). Momenter som må tas hensyn til er blant annet hvor maktpåliggende kontrolltiltaket er for virksomheten, hvor lenge personopplysningene blir lagret og de tillitsvalgtes og øvrige ansattes syn på registreringen. Det kan være vanskelig for den enkelte virksomhet å avgjøre om egeninteressen i å behandle opplysninger veier tyngre enn hensynet til den registrerte. Datatilsynet vil ha et særlig ansvar for å gi råd og veiledning om den interesseavveiningen som må foretas, jf. personopplysningsloven 42 tredje ledd nr Øvrige formål Sikkerhetshensyn Enkelte virksomheter ønsker å innføre sporingsteknologi for å vite hvor bilen er i tilfelle bilen er blitt stjålet, eller arbeidstakeren blir utsatt for et ran og utløser alarm selv. Virksomheten innfører gjerne slike sporingsenheter etter forslag fra sine ansatte, dette vil typisk være i sektorene for langtransport og verdisikring. Formålet vil til dels være å verne om virksomhetens materielle verdier samt å sikre at de ansatte får nødvendig assistanse ved behov. Slike formål vil ikke innebære at bilen sin lokasjon blir kontinuerlig registrert av arbeidsgiver. Bilens lokasjon vil først bli registrert når de nevnte situasjoner inntrer. Når sporingsteknologien blir brukt under slike forutsetninger, vil det etter Datatilsynets vurdering ikke være tale om et kontrolltiltak, og slike tiltak vil således 8

9 ikke bli behandlet nærmere i denne sammenheng. Hvis innretningen registrerer lokasjonen til kjøretøyet kontinuerlig, vil det derimot kunne være et kontrolltiltak, og arbeidsgiver vil da måtte overholde de plikter som regelverket pålegger. 6 Registrering av detaljopplysninger (sensorteknologi) Enkelte sporingsenheter kan registrere til dels svært detaljerte personopplysninger. Det kan for eksempel være hvor hardt sjåføren tråkker på gass- eller bremsepedalen, hvor mye bilen står på tomgang, om sjåføren foretar en krapp sving, bilens hastighet eller drivstofforbruk eller hvilke gravitasjonskrefter som kjøretøyet utsettes for. Datatilsynet mottar stadig henvendelser fra virksomheter som ønsker å registrere detaljerte opplysninger om sjåførens kjøring. Det kan ha sin bakgrunn i at det stilles som et kontraktsvilkår av en avtalepart eller at det er en forutsetning for å vinne en anbudskonkurranse. Selv om det er en medkontrahent som krever at det registreres detaljerte personopplysninger, vil det være naturlig å anse arbeidsgiver som den behandlingsansvarlige 7, jf. personopplysningsloven 2 nr. 4. Virksomheten vil ikke få noen større adgang til å behandle detaljopplysninger, selv om de har inngått en avtale eller vunnet en anbudskonkurranse der de forplikter seg til å utlevere den type personopplysninger til medkontrahenten. Arbeidsgivere som ønsker å registrere slike personopplysninger må oppfylle kravet til et behandlingsgrunnlag, jf. personopplysningsloven 8 (se pkt 2.2.1). Det hender at arbeidsgivere ikke er klar over hvilke registreringsmuligheter som ligger i de løsningene som er blitt anskaffet. Det foreligger derfor en potensiell mulighet for at virksomheter registrerer eller har muligheten til å registrere slike detaljopplysninger. Datatilsynet vil i den anledning minne om at arbeidsgiver som behandlingsansvarlig er forpliktet til å ha en oversikt over hvilke personopplysninger sporingsenheten registrerer, og at de personopplysningene er nødvendige for et uttrykkelig angitt formålet, jf. pkt Informasjonsplikt 3.1. Informasjonsplikt etter personopplysningsloven Ved innføring av sporingsteknologi i virksomhetens kjøretøy har arbeidsgiver en plikt til å informere sine ansatte om at det samles inn opplysninger om dem, jf. personopplysningsloven 19 og 20. Arbeidsgiver plikter av eget tiltak å informere arbeidstakerne blant annet om formålet med behandlingen, om opplysningene vil bli utlevert, og eventuelt til hvem. Videre plikter arbeidsgiver å informere om annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven på best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf. lovens 18. Det stilles ingen formkrav til hvordan informasjon til den registrerte skal gis. Det vil i enkelte tilfeller kunne være et poeng at informasjonen blir gitt skriftlig. Informasjonen skal formidles på en klar, entydig og lettfattelig måte. En skriftlig formidling vil i den anledning kunne bidra til at informasjonen blir forstålig samtidig som den behandlingsansvarlige har dokumentasjon på at informasjonsplikten er overholdt. 6 Se problemstillingen rundt ecall. 7 Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. 9

10 Manglende dokumentasjon på at informasjonsplikten er overholdt vil kunne tolkes i virksomhetens disfavør, når arbeidstaker(e) har en avvikende oppfatning om hva det ble informert om. En praksis der virksomheten gir skriftlig informasjon samt at den ansatte underskriver på at han har mottatt slik informasjon, vil således være fornuftig Informasjonsplikt etter arbeidsmiljøloven Arbeidsgiver plikter så tidlig som mulig å drøfte behov, utforming, gjennomføring og vesentlig endring av kontrolltiltak i virksomheten med arbeidstakernes tillitsvalgte, jf. arbeidsmiljølovens 9-2 første ledd. Begrepet «drøfting» innebærer at det er arbeidsgiver som ved uenighet bestemmer tiltaket innenfor arbeidsmiljølovens rammer. Drøfting- og informasjonsplikten knytter seg til systemer for kontroll og overvåking som virksomheten bruker. En helt konkret kontroll medfører ikke drøftingsplikt, hvis tiltaket har vært drøftet tidligere. Personopplysningsloven vil her utfylle arbeidsmiljølovens regler. Det er verdt å merke at arbeidsgiverplikter etter arbeidsmiljøloven, inntrer før personopplysningsloven sine regler, siden en arbeidsgiver så tidlig som mulig, jf. 9-2 første ledd, plikter å drøfte kontrolltiltaket. I annet ledd sies det følgende; Før tiltaket iverksettes, skal arbeidsgiver gi de berørte arbeidstakerne informasjon om: a) formålet med kontrolltiltaket, b) praktiske konsekvenser av kontrolltiltaket, herunder hvordan kontrolltiltaket vil bli gjennomført, c) kontrolltiltakets antatte varighet. Når personopplysningene behandles etter personopplysningsloven 8 bokstav f), vil de ansattes standpunkt til kontrolltiltaket være et av momentene som vil måtte vurderes i interesseavveiningen. Det er av den grunn svært viktig at de ansatte blir informert om arbeidsgivers planer på et tidlig tidspunkt. Det bør her presiseres at de ansattes synspunkter, vil være et av flere momenter i vurderingen, og behøver således ikke å få avgjørende betydningen for om et kontrolltiltak kan innføres eller ei. Etter tredje ledd sies det følgende: Arbeidsgiver skal sammen med arbeidstakernes tillitsvalgte jevnlig evaluere behovet for de kontrolltiltak som iverksettes. Hensikten med evalueringen av kontrolltiltaket er å undersøke om de behov som opprinnelig førte til tiltaket fremdeles er tilstede. Hvis behovet ikke lenger er tilstede, må tiltaket bringes til opphør. Evalueringsplikten vil til dels samsvare med personopplysningsforskriften 3-1 bokstav b). 10

11 4. Internkontroll Virksomheten har etter personopplysningsloven 14 plikt til å etablere og holde ved like planlagte og systematisk tiltak som er nødvendig for å oppfylle kravene i personopplysningsloven. Bestemmelsen er utdypet i personopplysningsforskriften kapittel 3. 8 Virksomheters bruk av sporingsenheter vil generere store mengder med personopplysninger. Virksomheten må derfor forut for behandlingen ha implementert et system som tar høyde for de plikter som regelverket pålegger dem. Med kravet om «planlagte og systematiske tiltak» vil det ofte være hensiktsmessig med en tredeling i internkontrollen; En styrende del som sikrer forhold som plassering av ansvar etter personopplysningsloven, oversikt over behandlinger med behandlingsgrunnlag, og identifisering av plikter, en gjennomførende del som inneholder de nødvendige rutinene for utførelsen, og til slutt en kontrollerende del hvor det følges opp at rutinene følges og at de er hensiktsmessige. Her forventes avvikshåndtering, egenkontroller og revisjoner av virksomhetens rutiner 9. For virksomheter som ønsker å følge regelverket, vil det være av betydning at virksomheten har bevissthet rundt hvilke regler som regulerer deres behandling av personopplysninger. Når virksomheten har innført en sporingsenhet for å føre elektronisk kjørebok, vil det for eksempel være nødvendig å etablere rutiner for å fange opp eventuell privat kjøring. Dette vil typisk være at man gjennomgår kjøreboken for å kontrollere at kjøretøyet ikke har blitt kjørt privat. Hvor ofte og på hvilken måte en slik gjennomgang skal utføres, er noe den enkelte virksomhet må ta stilling til. I henhold til personopplysningsloven 14 skal den behandlingsansvarlige dokumentere tiltakene. Dokumentasjonen skal være tilgjenglig for medarbeidere hos den behandlingsansvarlige og eventuelt hos en databehandler. Dokumentasjonen skal også være tilgjenglig for Datatilsynet og Personvernnemnda. Pliktene etter personopplysningsloven 14 har til hensikt å sikre en systematisk etterlevelse av relevante bestemmelser i regelverket. En generell veileder som er utarbeidet av en bransje eller i fellesskap med andre liknende virksomheter kan tjene som et nyttig utgangspunkt for eget system. Likevel må virksomheten selv gjennomføre en prosess hvor den behandlingsansvarlige vurderer egne behandlinger, samt hvilke plikter de utløser 5. Informasjonssikkerhet Etter personopplysningsloven 13 og personopplysningsforskriftens kapittel 2 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjenglighet ved behandling av personopplysninger For mer informasjon om internkontroll 10 For mer informasjon om informasjonssikkerhet 11

12 5.1. Risikovurdering Det følger av personopplysningsforskriften 2-4 at det skal føres en oversikt over hvilke personopplysninger som behandles. Opplysningene skal kategoriseres i forhold til behov for beskyttelse med hensyn til konfidensialitet, integritet og tilgjenglighet. På bakgrunn av dette skal det gjennomføres en risikovurdering for å kartlegge sannsynlighet for og konsekvenser av sikkerhetsbrudd. Virksomheten skal selv fastlegge kriterier for akseptable risiko forbundet med behandlingen av personopplysninger. Resultatet av risikovurderingen skal dokumenteres Sikkerhetsledelse I henhold til personopplysningsforskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i et sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig gjennomgås for å kartlegge om den er hensiktsmessig i forhold til virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten Tilgangsstyring Det følger av personopplysningsloven 13, jf. personopplysningsforskriften 2-13 og 2-14, at den behandlingsansvarlige skal sikre at personopplysninger er utilgjengelig for uvedkommende. Det er et sentralt element i personvernet at ingen skal gis tilgang til flere personopplysninger enn det som er nødvendig for å utøve sitt arbeid. Arbeidsgiver må etter dette ta stilling til hvem i virksomheten som skal ha tilgang til de personopplysninger som sporingsenheten genererer. Hvis sporingsenheten har flere formål, må virksomheten vurdere tilgangsstyringen for hvert enkelt formål. Tilgangsstyringen skal i tråd med internkontrollen, være gjenstand for jevnelige evalueringer Avvikshåndtering/sikkerhetsbrudd Det følger av personopplysningsforskriften 2-6 at virksomheten skal ha utarbeidet rutiner for avvikshåndtering, Hva er et avvik? Hvordan skal avvik rapporteres og følges opp i virksomheten? Dette er sentrale spørsmål som skal stilles og besvares i rutinen. Rutinen skal være informert og tilgjengelig for ansatte i virksomheten. I de tilfeller hvor avvik har forårsaket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal avviket meldes til Datatilsynet. 6. Meldeplikt I følge personopplysningslovens 31 skal den som behandler personopplysninger gi melding til Datatilsynet. Videre må den som ønsker å behandle sensitive personopplysninger søke konsesjon fra Datatilsynet. Melding skal gis før 12

13 behandlingen settes i gang og skal innholde en rekke opplysninger som er listet opp i personopplysningsloven 32. Det finnes flere unntak fra melde- og konsesjonsplikten som hovedsaklig er hjemlet i personopplysningsforskriften kapittel 7. I vurderingen av om den aktuelle behandling er fritatt for melde- og konsesjonsplikt tas det utgangspunkt i hvem den behandlingsansvarlige er, dvs. den egenskap/rolle behandlingsansvarlig innehar, og til hvilket formål personopplysningene blir behandlet. I vurderingen av om en arbeidsgivers behandling av personopplysninger er meldepliktig må det derfor tas utgangspunkt i det uttrykkelig angitte formålet, jf. personopplysningsloven 11 litra b), som den enkelte arbeidsgiver behandler personopplysningene etter. Personopplysningsforskriften 7-16 unntar en arbeidsgivers behandling av (ikkesensitive) personalopplysninger fra meldeplikten. Med personalopplysninger menes personopplysninger som arbeidsgiver har behov for å registrere i tilknytning til administrering av arbeidsforholdet. I det følgende vil vi se nærmere på om de formål arbeidsgivere oppgir ved bruk av sporingsteknologi vil være meldepliktig eller ikke. Elektronisk kjørebok har som formål å dokumentere at kjøring av virksomhetens bil kun har vært yrkesrettet. Problemstillingen blir så om dette formålet faller inn under unntaket i personopplysningsforskriften Personopplysningene som registreres og lagres etter formål om elektronisk kjørebok, vil være personopplysninger som knytter seg til den daglige bruken av virksomhetens bil. Slike personopplysninger vil etter Datatilsynets vurdering ikke være av en slik karakter, at de vil komme inn under definisjonen personalopplysninger, og kommer følgelig ikke under unntaket i personopplysningsforskriften Da det ikke er andre unntak som kan komme til anvendelse, vil en arbeidsgivers behandling av personopplysninger for å dokumentere jobbrelatert kjøring være meldepliktig etter personopplysningsloven 31. Flåtestyring har som formål å gi en oversikt over hvor bilene i bilparken er til enhver tid, slik at virksomheten sine ressurser blir brukt på en effektiv måte. En arbeidsgivers behandling av slike personopplysninger kan ikke sies å falle inn under ordlyden i 7-16, og vil følgelig ikke komme inn under unntaket. Virksomheten sin behandling av slike personopplysinger vil således være meldepliktig, når øvrige unntak ikke kommer til anvendelse. 7. Databehandleravtale En databehandler er i personopplysningsloven 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Når en arbeidsgiver får en leverandør til å håndtere personopplysninger fra sporingsenheten (på vegne av virksomheten), vil det være tale om en databehandler relasjon. I henhold til personopplysningsloven 15 kan ikke en databehandler råde over personopplysninger på annen måte enn det som er skriftlig avtalt med den 13

14 behandlingsansvarlige. I avtalen skal det også gå fram at databehandleren plikter å gjennomføre slike sikringstiltak som følger av 13 om informasjonssikkerhet. For at databehandler skal kunne lagre personopplysninger på vegne av den behandlingsansvarlige må det altså være opprettet en avtale mellom disse som regulerer forholdet. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, og for å verne personopplysningene som behandles på vegne av den behandlingsansvarlige, jf. personopplysningsloven 13. Datatilsynet viser avslutningsvis til tilsynets veileder av , Databehandleravtale». Veilederen dekker hvordan hovedelementene i en databehandleravtale bør være. 14