Hva er vi redde for? 26.03.2010 Børje Furunes 1

Hvem er jeg Fra region nord-norge Narvik, Rana, Bodø og Tromsø Fagopplæring Ran og vold Familie og likestilling Personvern Sosial dialog EU Utvandret fra Tromsø 1997

Kilder Datatilsynet Teknologirådet Uni Oslo Telenor 26.03.2010 Børje Furunes 3

Hva skal jeg snakke om? Personvern generelt Personvern i arbeidslivet Innspill fra dere -Hva kan arbeidsgiver samle inn av info om meg? e-post -Innsyn Lover og regler Hva kan og bør dere foreta dere som privatpersoner og ansatte?!

Mål for meg Inspirere, engasjere og provosere Gjøre lover underholdene 26.03.2010 Børje Furunes 5

26.03.2010 Børje Furunes 6

Hva er personvern? Beskyttelse av privatlivets fred Ivaretakelse av den personlige integritet Retten til å bestemme over egne personopplysninger Retten til å være i fred 26.03.2010 Børje Furunes 7

Hva er personvern? - - Beskytte enkeltindividet - Storebror? - Lillebrødre? 26.03.2010 Børje Furunes 8

Personvern på 1600-tallet Mandhelgebolken i Christian IVs Norske Lovbog : «Dicter mand rim eller vjser om nogen, oc quæder hannem til spot oc vanære, saa det ryctis en fierding veyes [«nabogrenda»] eller skal hand steffne hannem til tinge.». 26.03.2010 Børje Furunes 9

Opplysninger om deg i løpet av dagen 26.03.2010 Børje Furunes 10

Adgangskontroll Behandlingsgrunnlag 8f) Brukes det til annet enn å ivareta interne sikkerhetsmessige forhold må det innhentes samtykke Bedriftens system for tidsregistrering kan bruke samme leser og system, men kobling krever samtykke Begrenset adgang til å benytte fingeravtrykk og lignende ( 12) Rema 1000 - Esso 26.03.2010 Børje Furunes 12

Utro på en mandag Ansatte surfer aller heftigst etter f eks ny jobb klokken 12 og 14 på mandager. Så faller intensiteten ettersom dagene går, for å vise et visst oppsving på fredag, før de hjemlige plikter kaller 26.03.2010 Børje Furunes 15

http://www.youtube.com/watch?v=rsnxe2791y g&feature=fvw 26.03.2010 Børje Furunes 17

Trygdesvindel avslørt på Facebook En kvinne er dømt til seks måneders ubetinget fengsel for trygdesvindel, etter at hun oppga på Facebook av hun var samboer. Tobarnsmoren fikk utbetalt over 350.000 kroner i utvidet småbarnstillegg, bidragsforskudd og overgangsstønad 26.03.2010 Børje Furunes 18

Sjefen er ei hensynløs kjerring.» Det skrev en ansatt i varehandelen i statusfeltet sitt på nettsamfunnet Facebook - Jeg tenkte ikke at Facebook var et offentlig medium. Jeg tenkte at å skrive noe der var som å snakke med vennene mine, legger hun til. 26.03.2010 Børje Furunes 19

Hva er dette? 26.03.2010 Børje Furunes 20

Teknologiene gjør det enkelt for brukerne Mange har trådløse nettverk hjemme. Det er lettvint, fordi man slipper å installere ledninger der man vil bruke datautstyret. Få sikrer nettet sitt. Det er det samme som å legge inn nettverkskontakter til naboene samtidig som man reklamerer på de nærmeste lyktestolpene.

Hva deler vi med andre? 26.03.2010 Børje Furunes 23

La eksen naken på nett En sarping la ut nakenbilder av ekskjæresten på internett for å hevne seg. 50 000 kroner i erstatning etter å ha lagt ut nakenbilder av ekskjæresten sin på internett. Distribueringen av de svært private bildene var en hevnaksjon fra mannens side. Tilbud om overvåkning 26.03.2010 Børje Furunes 24

http://www.nettavisen.no/it/article2669334.ece 26.03.2010 Børje Furunes 25

Ny teknologi

Mobilens muligheter Browser WEB- Services Tale Electronic ID PKI evoting Message services Electronic Signature Games/ Lotto epurse Visa, Bank Payment/ mcommerce Video/Music/ Camera/ MMS Data communications Physical vicinity? On net? Mapapplications Navigation PKI-signed biometric templates Present or absent? Electronic passport Location services (m)key transfer services Ditt identitetsmerke vil settes i mange sammenhenger via mobilen 26.03.2010 Børje Furunes 27

Sporing av mobil telefoner Autozeek lar deg spore en eller flere mobiltelefoner «live» på Internett med elektronisk kart. GSM-posisjonering gjør det mulig å spore helt vanlige mobiltelefoner. Nå kan Autozeek gjøre dens posisjon tilgjengelig med elektroniske kart på Internett Tjenesten kostet 119 kroner i måneden og 2 kroner og 50 øre per posisjonering. Autozeek, Fleet Manager FleetOnline Norge og MapSolutions 26.03.2010 Børje Furunes 28

26.03.2010 Google Earth Børje Furunes 31

Storebror ser deg ved Oslo S Hvor mange i Oslo i dag? Nå ca 650 kameraer ved Oslo S 26.03.2010 Børje Furunes 35

50.000 øyne ser deg i Oslo Tallet utgjør omtrent ett kamera for hver tiende innbygger. Til sammenlikning har London ifølge studien UrbanEye 500.000 kameraer, ett for hver femtende London-boer. Biometriske kamera 26.03.2010 Børje Furunes 36

Trådløse soner Google Earth 26.03.2010 Børje Furunes 39 http://www.youtube.com/watch?v=3kswjukfyti&feature=related

Greit når du veit at du går med med en brikke. Noen har den til og med satt inn under huden (som adgangsdings for eksklusive klubber) Men hva hvis de ubevisst finnes i klærne dine? Eller i barberhøvelen din for den slags skyld? 26.03.2010 Børje Furunes 44

Radio Frekvens Identifikasjon av varer og mer. Spore mennesker Sykehus, gamlehjem Pasienter, personell på sykehus, spedbarn, skolebarn Hunder og katter. Erstatte adgangskort Identifikasjon av dyr Rasedyr, veddeløpsdyr - Mat-typing & dosering Andre formål Kompetanseutvikling Ved ulykker Måle arbeids prestasjoner Uniformerer 26.03.2010 Børje Furunes 45

RFID - nå også på tape Induksjonsspole Selve chip en Pris pr. RFID tag: ned mot 5 cent (US) 26.03.2010 Børje Furunes 47

RFID RFID identifiserer de gjenstander de er festet til gjennom utsendelse av radiobølger. Slike brukes i dag til å effektivisere vareflyt og lagerhåndtering innen vareproduksjon og i transportsektoren. Merking av sluttprodukter i varehandelen er et område hvor det forventes store utfordringer knyttet til personvernet.

Boycott Gillette Products! Click for details. Andre: - Wal-Mart -Benetton: http://boycottbenetton.o Benetton was considering putting RFID trac in their clothing that can be read from a dis used to monitor the people wearing them. Annet: http://www.epic.org/privacy/rfid/ 26.03.2010 Børje Furunes 50

RFID Fortsetter Sjekkliste for tillitsvalgte og ansatte Fått noen informasjon? Helse konsekvenser? Rasjonaliserings konsekvenser Prestasjonsmåling? Sjekke hvor dere befinner dere? 26.03.2010 Børje Furunes 53

Googling hva er det? Informasjon om deg på nettet kan nemlig hindre deg fra at du får drømmejobben Sjefen og nye sjefer ser etter deg på nettet. Norske rekrutteringsselskap bekrefter at det er relativt vanlig å ta i bruk nettet i jakt på mer bakgrunns informasjon om de potensielle arbeidstakere. 26.03.2010 Børje Furunes 54

USA krever alle opplysninger om deg 26.03.2010 Børje Furunes 58

ARJIS 26.03.2010 Børje Furunes 60

Arjis Crime & Disorder 26.03.2010 Børje Furunes 61

Arrestasjoner 26.03.2010 Børje Furunes 62

California Sex Offender Locator Map 26.03.2010 Børje Furunes 63

Sex-Kriminelle i Los Angeles Los Angeles 26.03.2010 Børje Furunes 64

26 March 2010

Hva har n gjort? 26.03.2010 Børje Furunes 66

Overvåket med en pizza= 26.03.2010 Børje Furunes 71

PERSONVERN I ARBEIDSLIVET - 26.03.2010 Børje Furunes 73 Noen som ser meg musikk=

Former for overvåkning Adgangskontroll ITV (video/fjernsyn) E-post Mystory shopper og ansatt Internettbruk (web) Edb-programmer/tastatur Tlf-logger/opptak Mobil posisjonering RFID (Radio Frekvens Identifikasjon) GPS / Ferdskrivere Rusmiddeltesting Ransaking Bometriske verktøy Sladrebrikke i alle PCer Hvor har du vært? Når var du der? Hva gjorde du? Hvem snakker du med? Hva snakket du om? Hvem snakket du om? Hvor er du? Hvor lenge? Hvor ofte? 26.03.2010 Børje Furunes 75

HKs medlemmers tilbakemeldinger Hemmelig kunde Ransaking av ansatte Kameraovervåkning E-post og logging RFID i lager/automatisering Mobilposisjonering Varsling i arbeidslivet ( whistleblowing )? I Fagforbundet 26.03.2010 Børje Furunes 76

Arbeidsgivers kontrolladgang og verktøykassa Styringsretten Arbeidsmiljøloven Kap. 9 Personopplysningsloven Avtaler F. eks. Hovedavtalen mellom LO/NHO/KS...osv Tilleggsavtale IV - Rammeavtale om teknologisk utvikling Tilleggsavtale V - Avtale om kontrolltiltak i bedriften 26.03.2010 Børje Furunes 77

Dine rettigheter Personopplysningsloven og en rekke andre lover gir en rekke rettigheter i forhold til opplysninger om en selv. Et hovedprinsipp i personopplysningsloven er at man i større grad skal ha kontroll med opplysninger om seg selv. Kontrollen ønsker man å oppnå blant annet ved at den enkelte skal informeres, ved innsynsrett og strenge krav til når personopplysninger skal kunne brukes. 26.03.2010 Børje Furunes 78

Norske regler- Lover og forskrifter Personopplysningsloven Personopplysningsforskriften Forskrift om post- og telegramkontroll m.v. Kommunikasjonskontrollforskriften Lov om Schengen informasjonssystem (SIS). 26.03.2010 Børje Furunes 79

Arbeidsmiljøloven 9-1. Vilkår for kontrolltiltak i virksomheten (1) Arbeidsgiver kan bare iverksette kontrolltiltak overfor arbeidstaker når tiltaket har saklig grunn i virksomhetens forhold og det ikke innebærer en uforholdsmessig belastning for arbeidstakeren. (2) Personopplysningsloven gjelder for arbeidsgivers behandling av opplysninger om arbeidstakere i forbindelse med kontrolltiltak med mindre annet er fastsatt i denne eller annen lov. 26.03.2010 Børje Furunes 80

Arbeidsmiljøloven 9-1. kontrolltiltak =Vidt spekter av tiltak, ingen nedre grense Vedvarende saklig grunn og avsluttes når behov eller formål begrunnet i tiltaket ikke lengre eksisterer eller betydelig redusert uforholdsmessig belastning for arbeidstakeren= Summen av kontrolltiltak vekt prinsippet (2) Personopplysningsloven gjelder for arbeidsgivers behandling av opplysninger om arbeidstakere i forbindelse med kontrolltiltak med mindre annet er fastsatt i denne eller annen lov. 26.03.2010 Børje Furunes 81

Arbeidsmiljøloven kap. 9 Kontroll tiltak i virksomheten Før tiltaket iverksettes skal arbeidsgiver gi de berørte arbeidstakerne informasjon om: Praktiske Konsekvenser Kontrolltiltakets varighet Formålet med tiltaket 26.03.2010 Børje Furunes 82

Arbeidsmiljøloven kap. 9 Kontroll tiltak i virksomheten 9-2 Drøfting, informasjon og evaluering av kontrolltiltak. Nr 1 - Arbeidsgiver plikter å drøfte så tidlig som mulig å drøfte behov, utforming,gjennomføring og vesentlige endringer av kontroll tiltak i virksomhetens med arbeidstakerens tillitsvalgte Evaluering Ikke varige tiltak 26.03.2010 Børje Furunes 83

Innhenting av helseopplysninger ved ansettelse, 9-3 Arbeidsgiver må ikke i utlysningen etter nye arbeidstakere eller på annen måte be om at søkerne skal gi andre helseopplysninger enn dem som er nødvendige for å utføre de arbeidsoppgaver som knytter seg til stillingen 26.03.2010 Børje Furunes 84

Medisinske undersøkelser av arbeidssøkere og arbeidstakere, 9-4 Arbeidsgiver kan bare kreve at medisinske undersøkelser skal foretas: når det følger av lov eller forskrift. ved stillinger som innebærer særlig risiko. når arbeidsgiver finner det nødvendig for å verne liv eller helse. 26.03.2010 Børje Furunes 85

Forarbeider for loven Personopplysningsloven Ot prp nr 92 (1998-1999) Om lov om behandling av personopplysninger (personopplysningsloven) NOU 1997:19 Et bedre personvern - forslag til lov om behandling av personopplysninger Innst.O.nr.51 (1999-2000) Innstilling fra justiskomiteen om lov om behandling av personopplysninger (personopplysningsloven) St.prp. nr. 34 (1999-2000) Om samtykke til godkjenning av EØS-komiteens beslutning nr. 83/1999 av 25. juni 1999 om endring av EØS-avtalens protokoll 37 og vedlegg XI (telekommunikasjonstjenester) Helseregisterloven Ot prp nr 5 (1999-2000) Om lov om helseregistre og behandling av helseopplysninger (helseregisterloven) Bransjevise adferdsnormer Vær varsom plakat særlig kap. 4). ForbrukerInspektørene 26.03.2010 Børje Furunes 86

Viktige lover som støtter personvernet Straffeloven Forbud mot ransaking og brevåpning: spesielt 145. 116, 122, og Privatlivets fred: 147 (annet ledd) og 390. Telefonavlytting: 145a. Hindring av innsynsrett: 146. Falske opplysninger 171 og 173 Arbeidsmiljøloven Arbeidsmiljølovens 4 sier bl.a i punkt 1 følgende (1) Arbeidsmiljøet i virksomheten skal være fullt forsvarlig ut fra en enkeltvis og samlet vurdering av faktorer i arbeidsmiljøet som kan innvirke på arbeidstakernes fysiske og psykiske helse og velferd. 4-3. Krav til det psykososiale arbeidsmiljøet (1) Arbeidet skal legges til rette slik at arbeidstakers integritet og verdighet ivaretas. 26.03.2010 Børje Furunes 87

Viktige lover som støtter personvernet Straffeloven & 227 og 390a - Truselen er skikket til at fremkalde alvorlig Frygt, eller som medvirker til saadan trusel - Sjikane: Den som ved skremmende eller plagsom opptreden eller annen hensynsløs atferd krenker en annens fred eller som medvirker hertil straffes med bøter eller fengsel inntil 2 år, se straffelovens 390a. http://sms til eks med halshugget bamse Åndsverkslovens & 45c 26.03.2010 Børje Furunes 88

Varsling i arbeidslivet ( whistle-blowing ) Plikt til å tilrettelegge for intern varsling Arbeidsmiljøloven slås det fast at arbeidsgiveren skal legge til rette eller utarbeide rutiner for intern varsling om kritikkverdige forhold i virksomheten. (Arbeidsmiljøloven 3-6) 26.03.2010 Børje Furunes 89

Ransaking, jur., Tvangsmiddel som består i at en person, en bolig, et romm.m. blir undersøkt for om mulig å finne bevis for et straffbart forhold. Etter Grl. 102 må r. bare finne sted i kriminelle tilfeller. Er som utgangspunkt betinget av rettens beslutning, men er det fare ved opphold, kan beslutningen treffes av påtalemyndigheten, og i visse tilfeller kan politi foreta r. uten slik beslutning. Straffeloven Forbud mot ransaking og brevåpning: spesielt 145. 116, 122, og 26.03.2010 Børje Furunes 94

Dømt for ulovlig ransaking i Trondheim Tingsretten dømte to politibetjenter for å ha ransaket en leilighet i Trondheim uten tillatelse. De to måtte betale en personlig bot for grov uforstand i tjenesten. 26.03.2010 Børje Furunes 95

Ransaking av ansatte Om de ansatte har inngått en avtale med arbeidsgiver om at dette er ok, eller om arbeidstaker har fått informasjon om dette ved ansettelse (f.eks. hvis det er nedfelt i et arbeidsreglement) vil også være et moment ved vurdering om arbeidsgiver kan gjøre dette. Arbeidsgiver må i alle tilfelle ha saklig grunn for å gjøre en slik ransaking av ansatte. Personlig ransaking av klær, kofferter, vesker osv. kan ikke gjøres med hjemmel i krrl. 25. Er det behov for fysisk ransaking må politiet koples inn, og vilkårene i straffeprosessloven 195 være oppfylt (skjellig grunn til mistanke osv.). 26.03.2010 Børje Furunes 96

Andre lover som støtter personvernet forts. Offentlighetsloven Offentlige dokumenter skal være tilgjengelig for almenheten, men det er unntak for bl.a. dokumenter med personopplysninger i offentlighetsloven, 5a og 6. Forvaltningsloven og litt generelt om taushetsplikt I forvaltningsloven 13 gis regler for taushetsplikt når tjenestemenn får kjennskap til personopplysninger. Denne paragrafen får anvendelse på en rekke andre lover: Barnehageloven ( 21), barnevernloven ( 6-7), trygdeloven ( 21-9), kommunehelseloven ( 6-6), politiloven ( 24), sosialloven ( 8-8), skoleloven ( 42),... Taushetsplikt er også gitt i familievernloven ( 5), fengselsloven ( 7), fysioterapiloven ( 8), sykepleierloven ( 11), helsepersonelloven ( 5), jordmorloven ( 6), apotekloven ( 23), postloven ( 13), telekommunikasjonsloven ( 7-7, 9-1 og 9-3), tolloven ( 8), valgloven ( 90), statistikkloven ( 2-4),... Straffeprosessloven, domstolloven, mm I straffeprosessloven 61a hjemles taushetsplikt. Denne har bl.a. anvendelse i politiloven 24. Se også 118, 119, 121, 125, 159, 168, 169, 170, 216i (2. ledd) og 230 i straffeprosessloven. Tilsvarende gjelder for tvistemålsloven 204, 205, 206, 206a, 209a og 284 Domstolloven hjemler taushetsplikt i 218 (3. ledd). Se også 234. Legeloven og tannlegeloven Legelovens 31 og tannlegeloven 31 fastlegger den generelle taushetsplikten. I legeloven, 26 legges det begrensninger i opplysningsplikten til pårørende ved syke barn. Pasientens innsynrett er hjemlet i legeloven 46 og i tannlegeloven 43. Arbeidsmiljøloven 26.03.2010 Børje Furunes 97

Tagged sende meldinger, gi kommentarer, «poste» artikkler, status, søke bilder 26.03.2010 Børje Furunes 98

Bilde fra et julebord? 26.03.2010 Børje Furunes 100

Endringen av det kollektive samtykkes betydning for behandling av personopplysninger

Bilder på nett- Åndsverkloven 45c Skille mellom situasjonsbilder (ikke samtykke) og portretter (samtykke). Åndsverkloven 45c Fotografi som avbilder en person kan ikke gjengis eller vises offentlig uten samtykke av den avbildede, unntatt når: a) avbildningen har aktuell og allmenn interesse, b) avbildningen av personen er mindre viktig enn hovedinnholdet i bildet, c) bildet gjengir forsamlinger, folketog i friluft eller forhold eller hendelser som har allmenn interesse, 26.03.2010 Børje Furunes 102

Personopplysningsloven Formål: å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger ( 1) Personopplysning: opplysninger og vurderinger som kan knyttes til en enkeltperson ( 2 nr. 1) Behandling av personopplysninger: enhver bruk av personopplysninger, som f. eks. innsamling, registrering, lagring og utlevering eller en kombinasjon av slike bruksmåter ( 2 nr. 2) 26.03.2010 Børje Furunes 104

Personopplysning 26.03.2010 Børje Furunes 105

Når kan kontrolltiltak iverksettes Må være saklig begrunnet i virksomheten ( 11 b) Må ha et rettslig grunnlag ( 8) Samtykke Lovhjemmel Avtale med den registrerte, rettslig forpliktelse, ivareta den registrertes vitale interesser, allmenn interesse, utøve offentlig myndighet Ivareta en berettiget interesse og hensynet til den enkeltes personvern ikke overstiger denne interessen 26.03.2010 Børje Furunes 106

Samtykke, 2 nr. 7 - frivillig, - uttrykkelig og - informert - erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv. Konkludent adferd er ikke tilstrekkelig Passivitet kan ikke tolkes som et ja 26.03.2010 Børje Furunes 107

Interesseavveiningen etter 8 f Arbeidsgivers berettigede interesse Hensynet til den registrertes personvern Berettiget interesse 26.03.2010 Børje Furunes 108

Mannen i bakgata 26.03.2010 Børje Furunes 109

Personverninteresser og -krav Interessen i å bestemme over opplysninger om egen person -Krav om minimalitet og beskyttelse av identitet Interessen i innsyn og kunnskap -Krav om konfidensialitet -Krav om rettsinformasjon -Krav om beskyttet privatliv -Krav om generelt innsyn -Krav om vern av individets identitetsbilde -Krav om individuelt innsyn -Krav om etablert tillitsforhold -Krav om begrunnelse Interessen i forholdsmessig kontroll -Krav til forholdsmessighet mellom veiledning og kontroll -Krav til forholdsmessighet mellom kontrollgrupper -Krav til forholdsmessighet mellom forhåndskontroll og etterkontroll -Krav til forholdsmessighet mellom kontroll til de registrertes gunst og til deres -ugunst -Krav til forholdsmessighet ekstern og intern kontroll Interessen i brukervennlig behandling -Krav om lydhørhet -Krav om forståelighet -Krav om uhindret dialog -Krav om driftsstabilitet Interessen i personvernanalyse -Krav om konsekvensanalyse -Krav om løpende kontroll -Krav om evaluering 26.03.2010 Børje Furunes 110

Noen ser deg, De vet hva du gjør De hører hva du sier. hver eneste dag... 26.03.2010 Børje Furunes 111

Lagring Før kunne man være rimelig sikker på at elektroniske spor ble overskrevet relativt raskt. Men ikke nå ----- Lagringskapasiteten er nå blitt så billig at man ikke lenger uten videre kan regne med at opplysninger forsvinner av seg selv. http://www.youtube.com/watch?v=t4wv33wpm M0 http://www.youtube.com/watch?v=i20k86kuwn A&feature=player_embedded

ID tyveri - http://www1.nrk.no/nett-tv/indeks/188276 DnB NOR: 439 saker i 2009. Totalt tap: 11,6 mill NOK Økning med 95,98% ift. 2008 Kort borte i posten øker med 30,28% Sparebank 1: 151 saker i felles register i perioden januar - september 2009 Telenor: 1395 mobilabonnement bestilt med falsk ID i 2009, mot 1361 i 2008. Totalt tap 8,2 mill NOK i 2008 Troms politidistrikt mottok 13 anmeldelser bare i januar 2009 26.03.2010 Børje Furunes 116

ID tyveri forebygge- http://www.idtyveri.info/ Ikke oppgi personlig informasjon til ukjente på telefon, gjennom e-post, eller over Internett med mindre det er du selv som har initiert trafikken. Dersom postkassen din ikke er låsbar, bør du vurdere å sette lås på. Tenk igjennom hvor mye informasjon som flyter gjennom denne kassen. Da vil du raskt se at den vil kunne være et førstevalg for kriminelle som ønsker informasjon om deg. 26.03.2010 Børje Furunes 117

ID tyveri forebygge - http://www.idtyveri.info/ Unngå å ha informasjon som kan gi tilgang til beskyttelsesverdig informasjon i lommebok eller vesker. Klikk aldri på linker i e-post fra institusjoner du tilsynelatende kjenner for så å legge inn personinformasjon på siden du kommer til; skriv heller inn adressen du kjenner fra før. Ha dine personlige data dine personopplysninger på et sikkert sted Vær oppmerksom på at det går an å reservere seg mot at noen endrer din postadresse via Internett. Kontakt eventuelt Posten om dette. Rive i stykker dokumenter som inneholder personopplysninger, før disse kastes i avfallsdunken. 26.03.2010 Børje Furunes 118

Slett meg.no Http://www.slettmeg.no/ 26.03.2010 Børje Furunes 119

Datatilsynet - Meldingsdatabase http://hetti.datatilsynet.no/melding/report_searc h.pl http://hetti.datatilsynet.no/melding/report_view. pl?id=31752 http://hetti.datatilsynet.no/melding/report_view. pl?id=30029 26.03.2010 Børje Furunes 120

date 26.03.2010 Børje Furunes 121

Hva er dette? 26.03.2010 Børje Furunes 124 http://www.verichipcorp.com/

Innsamling og lagring av opplysninger om de ansatte 26.03.2010 Børje Furunes 125

Ved ansettelse - Aml 13-4 Innhenting av opplysninger ved ansettelse - forbudt å spørre om seksuell orientering, politiske spørsmål, fagorganisering - Aml. 9-3 Innhenting av helseopplysninger ved ansettelse - forbudt å be om andre helseopplysninger enn dem som er nødvendige for å utføre de arbeidsoppgaver som knytter seg til stillingen. - Aml. 9-4. Medisinske undersøkelser av arbeidssøkere - Arbeidsgiver må heller ikke iverksette tiltak for å innhente helseopplysninger på annen måte. Samtykke kan ikke oppheve forbud i lov 26.03.2010 Børje Furunes 128

Hva kan (og skal?) arbeidsgiver samle inn Personalia; navn, adresse, fødselsdato Lønnsinformasjon; avtalt lønn, kontonummer, skattekort, bidragsstrekk, Opplysning om nærmeste pårørende; navn og telefonnummer i tilfelle skade eller lignende Opplysning om ansvar for barn og evt. kronisk sykdom for beregning av sykedager Avtaler om lån, hjemmekontor, Helseopplysninger innefor rammen av Aml., særlovgivning og det som er nødvendig for å tilrettelegge arbeidsplassen Vandelsopplysninger KUN dersom lovhjemmel Kredittvurdering KUN ved stillinger med økonomisk ansvar 26.03.2010 Børje Furunes 129

Opplysninger som oppstår underveis i arbeidsforholdet Klager, advarsler, tjenestelige tilrettevisninger og lignende - JA, men hvor lenge? - Opplysning om tid tilbrakt på jobb og hvor du har vært, hentet fra adgangskontrollsystem, overvåkningskamera, gps - hva kan disse opplysningene lovlig brukes til? - Opplysning om telefonbruk, databruk m.m. - hvor går grensen mot ulovlig overvåkning? - Opplysninger om sykdom eller rusmisbruk - hvor langt strekker arbeidsmiljøloven seg? 26.03.2010 Børje Furunes 130

Sensitive personopplysninger 2 nr. 8 uttømmende oppregning Rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning At en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling Helseforhold Seksuelle forhold - NB Medlemskap i fagforening NB! Opplysninger om økonomiske forhold er ikke sensitive. Heller ikke fødselsnummer! 26.03.2010 Børje Furunes 131

Internett Opplysninger om ansatte. Kan publisere opplysninger knyttet til arbeidsforhold som navn, ansvar, tlf, e-postadresse. Må samtykke til bilde Postjournal på Internett,. Kritisk til publisering av postjournal. Mulighet for å utarbeide personprofiler, Dokumenter på Internett. Bør være varsomme med å legge dokumenter knyttet til enkeltpersoner på nett. Menneskelige feil ved føring og teknisk svikt ved publisering kan føre til at personopplysninger blir publisert på nett. Offentlighetsloven skal være et instrument for demokratisk kontroll ikke et instrument for å tilfredsstille den enkeltes nysgjerrighet i forhold til saker andre enkeltpersoner til enhver tid har gående i forskjellige offentlige organer. 26.03.2010 Børje Furunes 133

Rett til innsyn i opplysninger hos arbeidsgiver - 18 Enhver har rett til grunninformasjon om behandlingen Hva slags behandling av personopplysninger Navn og adresse på den behandlingsansvarlige Hvem som har daglig ansvar for behandlingene Formålet med behandlingen Hvilke typer personopplysninger som behandles Om eventuell utlevering til andre I tillegg kan den registrete (ansatte) kreve å få vite Hva er registrert om meg? Sikkerhetstiltak? Utdypning av informasjonen som gis til enhver Unntak: 18 siste ledd og 23 NB! Innsynsretten gjelder uavhengig av hvor personopplysningene er lagret Innsynsretten muliggjør ivaretakelsen av de øvrige rettighetene i loven 26.03.2010 Børje Furunes 135

Personalmappe -innsyn Personale: Bare de som arbeider med virksomhetens personalsaker og har saklig behov i sitt arbeid, skal ha adgang til personalmappe (jf. forskriftene til personopplysningsloven kap. IV, 4-16). Arkivpersonale skal ha fått delegert myndighet. Dette gjelder også for eldre bortsatte personalarkiv. Den ansatte som part har rett til innsyn i (ikke utlevering) Egen fysisk mappe - etter offentlighetsloven og personopplysningsloven 18 med de begrensninger som følger av offentlighetloven 19 Hvilke opplysninger som er lagret om den ansatte i elektronisk register (personopplysningsloven 18) 26.03.2010 Børje Furunes 136

Datatilsynet avklarer (1) Innsyn i lønnsopplysninger. Utgangspunkt, lønn er ikke taushetsbelagt opplysning etter forvaltningsloven 13, men personopplysning etter personregisterloven 2 (ikke utlevers uten hjemmel). Dette gir ulike regler for offentlig og privat sektor. Offentlig sektor offentlighetsloven gir innsyn i Lønnsopplysninger om ansatte Forhandlingsprotokoller (lønnsforhandlinger) Privat sektor - Arbeidsgiver har ikke generell adgang til å gi opplysninger om individuell lønn uten samtykke*. Ved lønnsforhandlinger**: Tillitsvalgte kan få tilgang ved å undertegne taushetserklæring Lønn for stillingskategori (gruppenivå 5 eller flere) uten erklæring 26.03.2010 Børje Furunes 137

Datatilsynet (m.m.) avklarer (2) Fødselsnummer Følsom opplysning, ikke sensitiv/taushetsbelagt: Skal ikke brukes på postsendinger, men kan brukes på faktura. Utelates på publisering av dokumenter.* Kan brukes internt dersom nødvendig, eks. som ordningsprinsipp for arkiver (personalmapper). AKAN-opplysninger. Skal kun være tilgjengelig for bedriftshelsetjenesten, AKAN og evt. andre underlagt lovbestemt kompetansekrav/taushetsplikt Bedriftslege. Kan kun gi helseopplysninger til arbeidsgiver dersom skriftlig samtykke fra ansatt Politiattest og vandelsopplysninger. Datatilsynet: Behov for lagring skal vurderes. Men: Attest tilintetgjøres etter å ha vært benyttet til oppgitte formål. ** (AT: Registrering i journal bevis for mottatt attest). Må ha lovhjemmel *** for å motta opplysninger om vandel. Datatilsynet: Søkere som ikke ansettes, attest makuleres/sendes tilbake. * 26.03.2010 Børje Furunes 138

Lagringstid for personopplysninger Utgangspunkt: nødvendig for formålet ( 28) For en del opplysninger innebærer dette lagring i hele ansettelsesperioden og også etter at arbeidsforholdet er avsluttet Regnskapslovgivning, skattelovgivning Bedriftshistorie hvem var ansatt når og i hvilken stilling Adresselister for pensjonistforeningen og andre velferdstiltak med samtykke Rettssaker til rettskraftig avgjørelse om oppsigelse/avskjed foreligger evt. til foreldelse inntreffer 26.03.2010 Børje Furunes 139

Innsyn: Du kan henvende deg til en hvilken som helst virksomhet og få vite hvordan personopplysninger om deg behandles, hvor de er hentet fra. Du kan også kreve å få vite hvem opplysningene vil bli utlevert til. Opplysninger som ikke lenger er nødvendige for formålet skal slettes eller sperres. Det gjelder ikke dersom opplysningene skal oppbevares i henhold til arkivloven eller annen lovgivning. Dersom det er registrert opplysninger som er sterkt belastende, kan du kreve at opplysningene sperres. 26.03.2010 Børje Furunes 141

Retting av feil, sletting og sperring Man kan kreve at feilaktige eller mangelfulle opplysninger om en blir rettet I utgangspunktet skal virksomheten av eget tiltak rette mangelfulle eller feilaktige opplysninger. Det er ikke alltid lett for den som behandler store mengder opplysninger å bli klar over at noe mangler eller er feil. Datatilsynet anbefaler derfor at alle bruker innsynsretten aktivt, og gir beskjed til virksomheten om noe er feil. 26.03.2010 Børje Furunes 142

Innsyn Informasjon: Når en virksomhet ber om opplysninger, skal du få vite om det er frivillig å svare, hva opplysningene skal brukes til og om de vil bli utlevert. Dersom en virksomhet samler oppysninger fra andre kilder, skal du som hovedregel informeres. Svarfrist: Ber du om informasjon, skal svaret komme innen 30 dager. 26.03.2010 Børje Furunes 143

Retting & Sletting Retting - 27 Uriktige, ufullstendige og opplysninger Eget tiltak eller på begjæring Sletting - 28 Opplysninger som ikke lenger enn nødvendig Unntak : lovpålagt lagring 26.03.2010 Børje Furunes 144

Noen ser deg, De vet hva du gjør De hører hva du sier. hver eneste dag... 26.03.2010 Børje Furunes 150

Kameraovervåkning Dersom kameraovervåking en ikke er nødvendig, er den heller ikke lovlig. Kameraovervåking skal normalt ikke finne sted dersom problemet kan løses eller risikoen minimeres gjennom alternative tiltak. 26.03.2010 Børje Furunes 154

Fjernsynsovervåkning video: Regulert i lovens kapittel 7 og forskriftens kapittel 8 i tillegg må 8,9 og 11 følges vedvarende eller regelmessig gjentatt personovervåkning hvor lenge/hvor mange ganger? Web kamera kan man gjenkjenne enkeltpersoner? fjernbetjent eller automatisk virkende fjernsynskamera eller lignende apparat Fjernsynsovervåkning uten opptak -samtid Videofilming Manuelt betjent fotoapparat eller videokamera faller utenfor Tilleggsvilkår om særskilt behov ved overvåkning av sted der begrenset krets av personer ferdes ( 38) 26.03.2010 Børje Furunes 155

Fjernsynsovervåkning Plikter for den behandlingsansvarlige Varsle om at overvåkning finner sted ( 40) Melding til Datatilsynet ( 37, 2. ledd) Ikke utlevere personopplysninger fra overvåkningen uten lovhjemmel eller samtykke Unntak: utlevering til politiet Oslo politiet dømt Sletting når det ikke lenger er saklig grunn for oppbevaring ( 28) Utg.pkt. 7 dager (POF 8-4) Post og bank 3 mnd. Sikre personopplysningene (POF 8-2 og POL 13 og 14 Konfidensialitet, integritet og tilgjengelighet 26.03.2010 Børje Furunes 156

NÅR ER DET LOV Å OVERVÅKE? Tilbud om overvåkning 26.03.2010 Børje Furunes 157

Kameraovervåking Kameraovervåking av personer som kan gjenkjennes er et inngrep i personvernet. Slik overvåking er derfor lovregulert. Dersom kameraovervåkingen ikke er nødvendig, er den heller ikke lovlig. Kameraovervåking skal normalt ikke finne sted dersom problemet kan løses eller risikoen minimeres gjennom alternative tiltak. Datatilsynet har laget en veileder som gjennomgår når det er lov å overvåke med kamera. 26.03.2010 Børje Furunes 158

Utlevering av opptak og varsling om overvåking Utlevering bare skje fra databehandler til behandlingsansvarlige dersom den / de som er avbildet samtykker dersom utleveringsadgangen følger av lov til politiets etterforskning av straffbare handlinger og ulykker, hvis ikke lovbestemt taushetsplikt er til hinder Varsling Skal skje når fjernsynsovervåkingen skjer på offentlig sted hvor en begrenset krets av personer ferdes jevnlig Varselet skal inneholde opplysning om at overvåking skjer hvem som er behandlingsansvarlig for overvåkingen 26.03.2010 Børje Furunes 159

Overvåket med en pizza= 26.03.2010 Børje Furunes 160

Telefonbruk 26.03.2010 Børje Furunes 166

Telefonbruk Satellittnavigering via GPS( Global positioning System og GPRS Avstand til mobilmaster - 10-25 meter Sammensmelting med GPS mottakere og kart tjenester Hvor er nærmeste Venn, finne bank - automat Spore firmabiler, beveger du eller bilen seg. Med karttjenester kan man se om ansatte f.eks. er på kafé? 26.03.2010 Børje Furunes 167

Telefonkontroll Utgangspunkt: forbudt å avlytte samtaler man ikke selv deltar i (strl. 145) Arbeidsgiver må kunne vise til konkret hjemmel Opplæring - 8 f Bruk til nye uforenelige formål krever samtykke (Pol. 11 c) Husk informasjonsplikten!!! Overvåkning av telefonregninger 26.03.2010 Børje Furunes 168

Telefonbruk Mobilposisjonering Spesifisert regning krever avtale Både detaljregistrering av telefonbruk og opptak av samtaler må meldes inn til Datatilsynet. Tilsynet kan stoppe behandlinger som anses å være i strid med loven. 26.03.2010 Børje Furunes 169

Forslag nye regler Formålet med endringene er et forsøk å vekte hensynene til arbeidsgiver og arbeidstaker på en god måte. Straffeloven 145 Fengsel inntil 2 år 26.03.2010 Børje Furunes 173

Konkret foreslår Fornyingsdepartementet med en.veldig klar hovedregel: "Arbeidsgiver har ikke adgang til å gjennomsøke, åpne eller lese e-post i en ansatts personlige e-postkasse. Det samme gjelder for annen elektronisk kommunikasjon og for elektronisk lagrede opplysninger for øvrig. Arbeidsgiver har ikke adgang til å overvåke ansattes bruk av elektronisk utstyr, herunder bruk av Internett." 26.03.2010 Børje Furunes 174

Det gis dog noen konkrete unntak: Arbeidsgiver kan åpne en personlig e- postkasse for å sortere ut og lese virksomhetsrelatert e-post dersom: a) den ansatte er fraværende i mer enn tre arbeidsdager, b) den ansatte på tross av skriftlig pålegg ikke har sørget for videresending av e-post eller svar med opplysning om hvor virksomhetsrelatert e-post skal sendes og heller ikke på annen måte har gitt arbeidsgiver adgang til opplysningene og 26.03.2010 Børje Furunes 175

Nytt lov forslag Det gis dog noen konkrete unntak: c) det er god grunn til å tro at det er innkommet virksomhetsrelatert e-post og at behandlingen av denne av hensyn til virksomhetens drift ikke kan vente. Arbeidsgiver vil også kunne gjennomføre søk dersom det kan dokumenteres at det er mistanke om straffbart innhold (f.eks. barneporno), e-post i forbindelse med straffbar handlinger eller grove brudd på forhold rundt ansettelsen. 26.03.2010 Børje Furunes 176

Forslaget i korte trekk Utg. pkt.: Arbeidsgiver skal ikke gjøre innsyn i ansattes e-post Klare unntak for: Innsyn ved fravær Innsyn ved mistanke om straffbare forhold og illojalitet Innsyn ved arbeidsforholdets opphør Bestemmelsen kan i noen tilfeller fravikes gjennom instruks for bruk av e-post m.m. MEN: går bort fra samtykke som behandlingsgrunnlag OG: åpner for gebyr som alternativ til politianmeldelse ved brudd på bestemmelsene HKs høringssvar 26.03.2010 Børje Furunes 177

E-post kan knyttes til enkelt personer -Innholdet -opplysninger i systemet om avsender og mottaker Rt. 2002 s. 1500 Juridisk@virksomhet.no Ola.Normann@hotmail.no Ansatt@virksomhet.no 26.03.2010 Børje Furunes 180

Hvis e-posten ikke skal brukes privat. Gir det rett til innsyn? Med ansattes private e-post menes den e-post kontoen ansatte har tilgjenglig i sitt arbeid (peder.aas@bedriften.no) E-posten er ikke privat, men bruken kan være privat Privat e-post er e-post konti den ansatte har tilgang til utenfor arbeidsgivers kontroll (peder.aas@frisurf.no) Selv om det er bestemt at e-post systemet ikke kan benyttes til private formål, kan det ikke uten videre kreves innsyn i ansattes e-post 26.03.2010 Børje Furunes 182

Når har arbeidsgiver rett til innsyn? Må ha et grunnlag ( 8) Lovens utgangspunkt samtykke eller lovhjemmel Ivareta en berettiget interesse, som ikke overstiger hensynet til personens personvern ( 8f) Være saklig begrunnet i virksomheten ( 11 b) Skille mellom bedriftsrelatert e-post & privat e-post 26.03.2010 Børje Furunes 183

Innsyn i bedriftsrelatert e-post Meldinger sendt eller mottatt i forbindelse med utføring av arbeidsoppgaver, vil arbeidsgiver ha en berettiget interesse av å ha innsyn i Ulempen med innsyn (personverntrusselen) for de ansatte vil ikke være stor fordi det som leses har sammenheng med arbeidsoppgavene Arbeidsgiver kan derfor ha en berettiget interesse i innsyn i ansattes e-post knyttet til arbeidet ( 8 f) Innsyn i bedriftens post må anses som saklig begrunnet for arbeidsgivers virksomhet ( 11 b) 26.03.2010 Børje Furunes 184

Virksomhetsrelatert privat e-post Virksomhetsrelatert meldinger tilknyttet den ansattes oppgaver Privat meldinger som gir inntrykk av og være private Momenter av betydning Plasseringen av meldingen Merket privat? Avsender/mottaker adressen Emnelinjen NB! E-post til og fra den tillitsvalgte i anledning vervet som tillitsvalgt behandles som privat e-post Lurt å opprette egen adresse for dette 26.03.2010 Børje Furunes 185

Utgangspunkter Opplysningene i e-post systemet kan knyttes til enkelt personer; personopplysninger ( 2 nr1) Enhver bruk av opplysninger fra e-post systemet må skje etter personopplysningsloven Sikkerhetsforskriften pålegger bedriften å føre oversikt over hva slags opplysninger som behandles, og at systemet bare brukes til pålagte oppgaver ( 2-4, 2-8) Styringsretten gir arbeidsgiveren rett til å bestemme hva e-posten kan brukes til, også at den ikke skal benyttes til private formål 26.03.2010 Børje Furunes 190

Informasjon Innsyn i bedriftsrelatert e-post forutsetter at ansatte er informert om at dette kan forekomme. Informasjonsplikten ( 19) kan oppfylles som en del av arbeidsavtalen Er det ønskelig med innsyn, og det ikke er informert om at dette kan skje, må det innhentes samtykke. Ansatte har da en forventning om diskresjon Informasjon til avsender, anses uforholdsmessig vanskelig og er unntatt ( 20 b) 26.03.2010 Børje Furunes 191

Innsyn i privat e-post... Arbeidsgiver vil nok mene at det foreligger en berettiget interesse i å ha innsyn all e-post til den ansatte Innsyn kan krenke den ansattes kontroll med opplysninger om seg selv, og privatlivets fred Arbeidsgiver har derfor ikke rett til innsyn i den ansattes private e-post. Innsyn må eventuelt være basert på et samtykke fra den ansatte ( 8, jf 2 nr7) Innsyn i privatpost vil ikke anses som saklig begrunnet for arbeidsgivers virksomhet ( 11 b) 26.03.2010 Børje Furunes 192

Hva er bedriftsrelatert? Vurderes konkret - momenter: Er mottaker/avsender adressen en forretningsforbindelse? NB: Eventuell beskrivelse i emnelinjen Privat- Er det etter dette ikke avklart bør i utgangspunktet meldingen ikke leses. Bør klargjøres på forhånd for den ansatte hva som anses som bedriftsrelatert e-post, og når innsyn kan være aktuelt 26.03.2010 Børje Furunes 193

Før ønsket om innsyn oppstår Arbeidsgivers styringsrett og posisjon som eier av utstyret kan bestemme hvordan virksomhetens utstyr skal benyttes Instruks Må ikke gå lenger enn tillatt etter personopplysningsloven - formidles til alle de ansatte - revideres ved behov 26.03.2010 Børje Furunes 194

Når ønsket om innsyn er oppstått Har virksomheten laget retningslinjer? JA => følg dem Nei => interesseavveining etter 8 f Alternative metoder Virksomhetsrelatert Saklig begrunnet Ivaretar en berettiget interesse Hensynet til den ansatte Forutsetter informasjon på forhånd Privat Utgangspunkt: ikke saklig begrunnet Slettet e-post Behandles som privat e-post 26.03.2010 Børje Furunes 196

Velg en metode som kan etterprøves: Beskriv skriftlig begrunnelsen for innsyn La den ansatte være tilstede ved innsynet Benytt vitner f. eks. tillitsvalgte eller verneombud Beskriv valgt metode f. eks. søkeord Beskriv hvilke meldinger som er åpnet Beskriv resultatet av innsynet Hvis data skal benyttes som bevis: bruk profesjonelle 26.03.2010 Børje Furunes 197

Når innsyn er gjennomført Lukk alle åpnede e-poster Slett alle utskrifter og kopier av opplysninger dersom det ikke foreligger saklig grunn for fortsatt lagring NB! Utlevering av de innsamlede opplysningene er en selvstendig behandling som må oppfylle vilkårene i personopplysningsloven. 26.03.2010 Børje Furunes 198

Når arbeidsforholdet avsluttes Ansatte slutter: E-postkontoen skal slettes med mindre annet er avtalt NB! Melding om ny kontakt => aktiv konto Den ansatte bør: slette eventuelle private meldinger overføre eller arkivere virksomhetsrelatert e-post etter avtale med ledelsen gi beskjed til sine kontakter om eventuell ny adresse for privat og virksomhetsrelatert e-post Ansatte dør Saklig grunn for å sortere ut eventuelle virksomhetsrelaterte e-post Ingen selvfølge at pårørende skal få innsyn Dødsboet trer inn i økonomiske forpliktelser og innsyn må vurderes konkret i forhold til dette 26.03.2010 Børje Furunes 199

Eksempel fra Norsk Hydro Den ansatte er fraværende - samtykke gis Program Management Support Reglene under gjelder når: den ansatte har godkjent tilgangen før selve fraværet i tilfeller hvor han/hun blir kontaktet f.eks. via telefon eller mail når han/hun er fraværende når personen er sluttet. a. På bakgrunn av henvendelse fra fra arbeidsgiver vurderer den ansatte forespørselen. Et samtykke skal være frivillig. b. Den ansatte gir beskjed til lokalt service senter (mail, telefon, o.l.). Følgende skal fremkomme i melding til lokalt service senter: hvem som skal få tilgang i hvilke tidsrom vedk. skal gis tilgang c. På bakgrunn av beskjed fra den ansatte gir lokalt service tilgang. Tilgangen skal loggføres og følges opp. 26.03.2010 Børje Furunes 201

Eksempel fra Norsk Hydro Program Management Support Praksis når det gjelder e-post Hovedregel Arbeidsgiveren har ikke adgang til å lese e-post den ansatte mottar uten at denne har gitt sitt samtykket. Samtykke skal være frivillig Dersom den ansatte ikke gir sitt samtykke avsluttes saksbehandling 26.03.2010 Børje Furunes 202

Eksempel fra Norsk Hydro Program Management Support Den ansatte er fraværende - intet samtykke Den ansatte kan ikke nås Arbeidsgiveren har ikke adgang til å lese ansattes e-post Ved dødsfall Nærmeste overordnede og en datatillitsvalgt (evt. en kollega) gis tilgang. Private meldinger skal ikke leses. 26.03.2010 Børje Furunes 203

Anbefalninger.. Lag retningslinjer for bruk av e-post Insyn bør begrenses og baseres på samtykke Mistenker man at e-post er sendt i strid med retningslinjer, kan den slettes. Forutsetningen er at de ansatte er informert om at dette er konsekvensen Ved arbeidsforholdets slutt bør kontoen slettes. Melding kan sendes avsender om at posten kan sendes en annen Avtales mellom arbeidsgiver og tillitsvalgte hvordan eventuelle brudd skal løses 26.03.2010 Børje Furunes 204

Ad Voldtatt for 14 år siden.. 26.03.2010 Børje Furunes 206

Hvordan kan nettet overvåkes? Det som skjer i et edb-system registreres som hendelser eller aktivitetslogger; (hvem har gjort hva til hvilket tidspunkt) Typisk være: Pålogging hvem har sendt e-post til hvem Hvilke Internettsider har vært besøkt Lastet ned store filer Forsøk på uautorisert bruk Eier av systemet kan ut fra sårbarheten bestemme hva som skal logges. Kan i utgangspunktet logge alt 26.03.2010 Børje Furunes 207

Viktige for driften & informasjonssikkerheten Benyttes til administrasjon; Ressursene i systemet benyttes optimalt Benyttes til sikkerhet; Overvåke at store filer som krever mye ressurser i systemet ikke forårsaker at systemet kollapser. Men også at det ikke skjer uautorisert bruk Brudd på sikkerheten kan medføre store tap. Både for bedriften og de som er registrert 26.03.2010 Børje Furunes 208

Har arbeidsgiver lov til å overvåke? Må ha et grunnlag ( 8) Lovens utgangspunkt samtykke eller lovhjemmel Ivareta en berettiget interesse, som ikke overstiger hensynet til personens personvern ( 8f) Bruk som nevnt ivaretar en berettiget interesse, som er større enn hensynet til den enkeltes personvern Saklig begrunnet i virksomheten ( 11 b) Utgangspunktet meldepliktig, men formål som nevnt er unntatt i (forskriftens 7-11) 26.03.2010 Børje Furunes 209

Kan de ansatte overvåkes? Sikkerhetsforskriften pålegger at systemet benyttes til pålagte oppgaver. Retningslinjer om bruk må utarbeides, disse må være kjent for de ansatte Arbeidsgiver vil ha interesse av å kontrollere om den ansatte følger retningslinjene. En slik kontroll kan føles krenkende for den ansattes integritet og privatlivets fred. Stilles strengere krav En slik bruk av loggene vil kreve samtykke og er meldepliktig 26.03.2010 Børje Furunes 210

Lese Internett-logger Datatilsynet mener datasjefer har lov å bla i logger for å planlegge kapasitetsbehov eller løse problemer. Men ser han at du ofte er inne på www.jobshop.no og sannsynligvis leter etter ny jobb, har han ikke lov å varsle ledelsen. Ledelsen har ikke adgang til å lete i Internett-logger, verken på din PC eller bedriftens servere. Det er ikke lov å sjekke om ansatte bruker Internett til private formål, uansett om nettstedet heter Playboy eller Jobshop. Dette gjelder alle selskaper i Norge, uansett eierforhold og moderselskaper i andre land. 26.03.2010 Børje Furunes 211

Meldeplikt eller konsesjonsplikt? Utgangspunktet meldeplikt Personopplysningsloven 31 Sensitive opplysninger utløser konsesjonsplikt Personopplysningsloven 33 Unntak: Forskriften Forskriften 7-16 26.03.2010 Børje Furunes 212

Meld ifra til Datatilsynet og HK.. Arbeidsgiverens behandling av personopplysninger er unntatt melde/- og konsesjonsplikt under visse forutsetninger. (Forskrift til personopplysningsloven, 7-16.) Det er derfor viktig at de ansatte selv sier ifra til Datatilsynet/HK hvis arbeidsgiveren bruker personopplysninger på en måte som føles krenkende. 26.03.2010 Børje Furunes 213

Google logger en rekke opplysninger Google logger en rekke opplysninger i forbindelse med søk. Tidspunkt, IP-adresse, søkeord og en rekke andre opplysninger blir alt lagret i Googles arkiv. På sikt vil dette kunne utnyttes til å finne ut mye om den enkelte nettbruker. For eksempel også til å skreddersy svært spesifikke reklamekampanjer for annonsører. Datatilsynet besøkte det Norske Google kontoret nå på tirsdag og ønsker å vite hvorfor søkemotoren logger en rekke opplysninger i forbindelse med søk Google en arbeidstaker er svært normalt! 26.03.2010 Børje Furunes 215

Blåser i personvernloven Én av tre bedrifter sier at det ikke er aktuelt for dem å ha systematisk oversikt over hvilke personopplysninger som behandles av virksomheten. Det kommer frem i en spørreundersøkelse gjennomført blant 424 norske private og offentlige bedrifter. TNS Gallup har utført undersøkelsen på oppdrag fra Transportøkonomisk Institutt (TØI). 26.03.2010 Børje Furunes 216

Grunnkrav til behandlingen POL 11 Opplysningene må Kun brukes til uttrykkelig angitte formål Ikke brukes til formål som er uforenelig med det opprinnelige formålet Være tilstrekkelige og relevante Være korrekte og oppdaterte Ikke oppbevares lenger enn nødvendig Ha behandlingsgrunnlag i 8 og 9 NB! Arbeidsgiver vil nesten uten unntak behandle sensitive opplysninger (jf. 2 nr. 8) om sine ansatte 26.03.2010 Børje Furunes 217

Vilkår for å behandle personopplysninger Personopplysningslovens 8 særlig Samtykke Lovhjemmel - a. Oppfylle avtale med den registrerte (arbeidsavtalen) - f. Interesseavveining - Personopplysningslovens 9 særlig a. Samtykke b. Lovhjemmel c. f. Nødvendig for gjennomføring av arbeidsrettslige plikter eller rettigheter 26.03.2010 Børje Furunes 218

Adgangskontroll Behandlingsgrunnlag 8f) Brukes det til annet enn å ivareta interne sikkerhetsmessige forhold må det innhentes samtykke Bedriftens system for tidsregistrering kan bruke samme leser og system, men kobling krever samtykke Begrenset adgang til å benytte fingeravtrykk og lignende ( 12) Rema 1000-26.03.2010 Børje Furunes 219

Aktivitetslogger registreringer av hvem som har gjort hva til hvilket tidspunkt etc. hjemmel i POL 13 med forskrifter skal oppbevares i tre måneder (POF 2-16) skal ikke benyttes til kontroll eller overvåkning av enkeltpersoner (POF 7-11) Innsyn i logger følger samme regler som innsyn i e-post 26.03.2010 Børje Furunes 220

Helseopplysninger og rusmiddelkontroll Det kan ikke gis samtykke utover de tilfeller som positivt er hjemlet i Aml. NB! Helseopplysninger = sensitive opplysninger jf. 2 nr. 8 => man må ha behandlingsgrunnlag i 8 OG i 9 PVN vedtak : Securitas har ikke adgang til kontroll av samtlige ansatte ved skjellig grunn til mistanke om misbruk (PVN-2005-06) 26.03.2010 Børje Furunes 221

Retting & Sletting Retting - 27 Uriktige, ufullstendige og opplysninger Eget tiltak eller på begjæring Sletting - 28 Opplysninger som ikke lenger enn nødvendig Unntak : lovpålagt lagring 26.03.2010 Børje Furunes 222

Oppsummering Kontrolltiltak skal drøftes med de tillitsvalgte Samtykke bør benyttes med forsiktighet i arbeidslivet Lovhjemmel er å foretrekke Interesseavveiningen etter 8 f skal være konkret Lagringstiden avhenger av formålet Informasjon til de ansatte er grunnleggende 26.03.2010 Børje Furunes 223

Informasjonsplikt 19 og 20 Før det samles inn opplysninger fra den registrerte selv typisk fra den ansattes e-postkasse Når det er samlet inn opplysninger fra andre innhenting fra IT-ansvarlig eller fra systemet som sådan??? Uansett: Samtykke ved bruk som er uforenelig med det opprinnelige formålet jf. 11 c typisk bruk av informasjon i logger i oppsigelsessak Og: Et samtykke er bare gyldig dersom det er informert NB! Unntak i 20 og 23 26.03.2010 Børje Furunes 224

HK og Datatilsynet anbefaler Arbeidsgiver: Lag instruks for databruk Involver de ansatte og tillitsvalgte i prosessen Sørg for etterprøvbarhet ved eventuelt innsyn Opprett egen e-post adresse for tillitsvalgte osv Ansatt: Unngå privat bruk av arbeidsgivers utstyr Merk mapper og filer med privat innhold Følg arbeidsgivers instruks for bruk av utstyret 26.03.2010 Børje Furunes 225

E -post mer Det er ikke anledning til å bestemme at all e-post eller annen elektronisk kommunikasjon som mottas med virksomhetens elektroniske utstyr skal anses som virksomhetsrelatert. Videre foreslår departementet at verneombudet eller en annen representant for den ansatte skal være tilstede ved innsyn. Brudd på loven vil føre kunne straffes med bøter eller fengsel inntil ett år eller begge deler 26.03.2010 Børje Furunes 226

Hjemmelsgrunnlag Personopplysningsloven Samtykke, 8 og 9. Arbeidsrettslige plikter, 9 f.) Interesseavveining, 8, f.) Oppfyllelse av avtale, 8 a.) Formell lov Arbeidsmiljøloven Straffeloven 26.03.2010 Børje Furunes 227

8. Vilkår for å behandle personopplysninger Personopplysninger (jf. 2 nr. 1) kan bare behandles dersom den registrerte har samtykket, eller det er fastsatt i lov at det er adgang til slik behandling, eller behandlingen er nødvendig for f) at den behandlingsansvarlige eller tredjepersoner som opplysningene utleveres til kan vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen. 9. Behandling av sensitive personopplysninger Sensitive personopplysninger (jf. 2 nr. 8) kan bare behandles dersom behandlingen oppfyller et av vilkårene i 8 f) behandlingen er nødvendig for at den behandlings ansvarlige kan gjennomføre sine. 26.03.2010 Børje Furunes 228

- Krav til frivillig samtykke Personopplysningsloven stiller krav til samtykke. Den som skal registreres må få tilstrekkelig informasjon til å forstå hva samtykket gjelder og hvilke konsekvenser det kan få. Informasjonen til den registrerte skal minst omfatte: navn og adresse på den behandlingsansvarlige hva opplysningene skal brukes til om opplysningene vil bli utlevert til andre, og eventuelt hvem som er mottaker om det er frivillig å gi fra seg opplysningene informasjon som gjør den registrerte i stand til å bruke sine rettigheter etter personopplysningsloven på best mulig måte, som f.eks. om retten til å kreve innsyn, retting og sletting hvor lenge personopplysningene vil bli behandlet eller oppbevart 26.03.2010 Børje Furunes 229

Avgjørelser Klage på pålegg om opphør av fjernsynsovervåkning m.v. Sak nr 2002/05: Klage på pålegg om opphør av fjernsynsovervåkning m.v. - Raddison SAS Plaza Hotell. Fjernsynsovervåkning av bar vil lett kunne bli ansett som krenkende i forhold til gjestenes ønske om diskresjon. Det nødvendige sikkerhetsbehov skulle være ivaretatt ved at baren er betjent. Monitorering av svømmebasseng/treningsrom ble funnet akseptabelt, men ikke opptak. Klagen ble derfor ikke tatt til følge. 26.03.2010 Børje Furunes 230

Klage på Datatilsynets avslag om forlenget lagring av billedopptak Sak nr. 2002/02: Avslag på søknad om dispensasjon om forlenget lagring av billedopptak - Posten Norge BA. Opptak ved minibank plassert direkte utenfor banklokaler. Avslaget omgjort, blant annet under henvisning til at overvåkingen også representerte økt sikkerhet for brukerne av minibanken. Sak nr. 2002/01: Avslag på søknad om dispensasjon om forlenget lagring av billedopptak - A-møbler AS. Spørsmål om lagring av videoopptak ved kasse med sikte på sikring av bevis ved misbruk av kredittkort mv. Avslaget opprettholdt. 26.03.2010 Børje Furunes 231

Linker Personopplysningsloven [Lovdata] - [engelsk] Forskrift om overføring av ansvarsområder. Del av myndighet [Lovdata] Personopplysningsforskriften [Lovdata] Forskrift om post- og telegramkontroll m.v. [Lovdata] Kommunikasjonskontrollforskriften [Lovdata] Helseregisterloven[Lovdata] Lov om Schengen informasjonssystem (SIS). (Lovdata)[Lovdata] 26.03.2010 Børje Furunes 232

Flere Linker direktiv EU-direktivet om personvern (95/46/EC) - [norsk] - [dansk] - [engelsk] EU-direktivet om beskyttelse av personopplysninger innen telekommunikasjonssektoren (97/66/EC)- [dansk] EU-direktivet om beskyttelse av personopplysninger innen telekommunikasjonssektoren (97/66/EC) - [engelsk] EU-direktivet om beskyttelse av personopplysninger og elektronisk kommunikasjon (2002/58/EF) - [ dansk] - [ engelsk] 26.03.2010 Børje Furunes 233

Andre linker Retningslinjer om personopplysningsvern Schengenavtalen - [engelsk] - [norsk*] Verdenserklæringen om menneskerettighetene av 1948 artikkel 12 FN-konvensjonen om sivile og politiske rettigheter av 1966 artikkel 17 Den europeiske menneskerettskonvensjon av 1950 artikkel 8 Traktaten om europeisk union av 1992, tittel 1, artikkel F(1) og (2) EUs charter om grunnleggende rettigheter (Charter of Fundamental Rights) av 2000 artikkel 7 og 8 26.03.2010 Børje Furunes 234

Hvor kan jeg kreve generelt innsyn? Du kan kreve innsyn hos alle organisasjoner, enten de er offentlige eller private. I prinsippet kan du med andre ord spørre i en hvilken som helst bedrift, organisasjon, i statlig eller kommunal forvaltning m.v. Du kan enten henvende deg til hovedkontoret eller til noen som behandler personopplysninger i henhold til avtale med hovedkontoret, for eksempel i en datasentral. Du har neppe rett til å få informasjonen direkte fra et lokalkontor/filial e.l., men det er trolig grunnlag for å kreve at disse skal formidle kravet om innsyn videre til hovedkontoret eller til en datasentral e.l. som behandler personopplysninger for dem. Du kan ikke kreve innsyn i hvorledes enkeltpersoner behandler personopplysninger for private og personlige formål. Retten til innsyn er heller ikke aktuell når opplysningene behandles for å bli brukt innen journalistikk og annen opinionsdannende virksomhet, eller som ledd i kunstnerisk eller litterær virksomhet. http://www.saftonline.no/krev_innsyn/341/ 26.03.2010 Børje Furunes 235

Personverninteresser (og -krav) Jf aml 9-1! Interessen i forholdsmessig kontroll Interessen i selvbestemmelse Personvern: personlig integritet privatlivets fred opplysningskvalitet (pol 1) Interessen i innsyn og kunnskap Interessen i brukervennlig behandling Interessen i opplysnings- og behandlingskvalitet 26.03.2010 Børje Furunes 236

Datatilsynet Uavhengig forvaltningsorgan Etablert i 1980 Kan ikke instrueres av Kongen eller departementet Administrativt underlagt FAD Direktør Georg Apenes 33 medarbeidere - Fire avdelinger Juridisk Tilsyns- og sikkerhet Informasjon Administrasjon Håndhever personopplysningsloven, helseregisterloven og SIS-loven Saksbehandling Tilsyn/kontroll Veiledning/informasjon 26.03.2010 Børje Furunes 237

Hvorfor kommer Datatilsynet på kontroll Lovpålagt oppgave Mindre konsesjon mer etterhåndskontroll Tips om brudd på personopplysningsloven eller helseregisterloven Avisoppslag Tips fra tillitsvalgte, enkeltpersoner Strategiske valg Bransjer hvor personverntrusselen er særlig stor avdekke feil Bransjer tilsynet kjenner dårlig - kartleggingstilsyn 26.03.2010 Børje Furunes 238

Forskjellige typer kontroller Brevkontroll Masseutsendelser Datatilsynet ber om redegjørelse Stedlig kontroll Varslede Uvarslede Forenklede kontroller Kameraovervåkning 26.03.2010 Børje Furunes 239

Hjemmelsgrunnlag for kontroll Datatilsynet skal kontrollere at lover og forskrifter som gjelder for behandling av personopplysninger blir fulgt, og at feil eller mangler blir rettet ( 42, tredje ledd, 3) Datatilsynet kan kreve Opplysninger Adgang til steder hvor det finnes personregistre, overvåkningsutstyr, Å få gjennomføre nødvendige prøver og kontroller Bistand fra personalet ( 44) Datatilsynet har taushetsplikt ( 45) 26.03.2010 Børje Furunes 240

Gjennomføringen av stedlig kontroll - 1 Forhåndsvarsel jf. fvl. 16 muntlig skriftlig angir hjemmel og formål Fremgangsmåte ved granskning jf. fvl. 15 Legitimering Angi hjemmel og formål Rett til vitne Protokoll Klageadgang 26.03.2010 Børje Furunes 241

Gjennomføringen av stedlig kontroll - 2 Gjennomgang av de juridiske problemstillinger med ledelsen tilstede diskusjon og veiledning Verifikasjon samtaler med tilfeldige ansatte stikkprøver i registre og datamaskiner samtaler med tilfeldige kunder/brukere Avsluttende møte oppsummering av funn foreløpige konklusjoner 26.03.2010 Børje Furunes 242

Etter kontrollen Faktumgrunnlag oversendes til gjennomsyn Oppfylle retten til kontradiksjon jf. fvl. 17 Rapport og eventuelt varsel om vedtak Oppfylle kravet om forhåndsvarsel i fvl. 16 Eventuelt pålegg Lukking av avvik saken avsluttes Pålegg kan påklages til personvernnemnda 26.03.2010 Børje Furunes 243

Datatilsynet kan gi pålegg om opphør av behandling av personopplysninger ( 46) stille vilkår for behandling av personopplysninger ( 46) pålegge bruk av fødselsnummer ( 12) pålegge retting og sletting av personopplysninger ( 27 og 28) I tillegg kan Datatilsynet ilegge tvangsmulkt ( 47) hvis pålegg ikke blir fulgt dagbøter løper ikke før klagefristen er ute og ikke under evt. behandling i PVN inngi anmeldelse til politiet ( 48) ikke alle brudd på personopplysningsloven er straffsanksjonert benyttes bare dersom bruddet på personopplysningsloven anses som grovt 26.03.2010 Børje Furunes 244

Oppsummering Kontroll er et virkemiddel i arbeidet med å gi enhver et bedre personvern Datatilsynets innfallsvinkel er at kontrollen skal oppleves som positiv for alle parter som er involvert Det er svært sjelden at virkemidler som tvangsmulkt og anmeldelse tas i bruk. 26.03.2010 Børje Furunes 245

Arbeidsmiljøloven kap. 9 Kontroll tiltak i virksomheten Uten særskilte regler for e-post. Arbeidsgiver kan bare iverksette tiltak ovenfor arbeidstaker når tiltaket har en saklig grunn i virksomhetens forhold og at det ikke innebærer en uforholdsmessig belastning for arbeidstakeren Pol gjelder hvis ikke hjemlet i annen lov 26.03.2010 Børje Furunes 246

Cookies Cookies er små filer som skrives til harddiskennår man besøker en webside Legitim bruk av cookies er registrering av informasjon for framtidig bruk feks sider som bruker handlekurver: shopping carts Mindre akseptabel bruk er reklamefirmaer som logger en brukers nettsurfing og legger reklame på websider brukeren kommer til å besøke 26.03.2010 Børje Furunes 248

Eksempler på Cookies 26.03.2010 Børje Furunes 249

Global Unique Identifiers (GUIDs) GUID er en unik identifikator som genereres av hardware eller et program Brukes til å sende infromasjon tilbake til seiden som opprettet GUID en 26.03.2010 Børje Furunes 250