Hva er vi redde for? 26.03.2010 Børje Furunes 1
Hvem er jeg Fra region nord-norge Narvik, Rana, Bodø og Tromsø Fagopplæring Ran og vold Familie og likestilling Personvern Sosial dialog EU Utvandret fra Tromsø 1997
Kilder Datatilsynet Teknologirådet Uni Oslo Telenor 26.03.2010 Børje Furunes 3
Hva skal jeg snakke om? Personvern generelt Personvern i arbeidslivet Innspill fra dere -Hva kan arbeidsgiver samle inn av info om meg? e-post -Innsyn Lover og regler Hva kan og bør dere foreta dere som privatpersoner og ansatte?!
Mål for meg Inspirere, engasjere og provosere Gjøre lover underholdene 26.03.2010 Børje Furunes 5
26.03.2010 Børje Furunes 6
Hva er personvern? Beskyttelse av privatlivets fred Ivaretakelse av den personlige integritet Retten til å bestemme over egne personopplysninger Retten til å være i fred 26.03.2010 Børje Furunes 7
Hva er personvern? - - Beskytte enkeltindividet - Storebror? - Lillebrødre? 26.03.2010 Børje Furunes 8
Personvern på 1600-tallet Mandhelgebolken i Christian IVs Norske Lovbog : «Dicter mand rim eller vjser om nogen, oc quæder hannem til spot oc vanære, saa det ryctis en fierding veyes [«nabogrenda»] eller skal hand steffne hannem til tinge.». 26.03.2010 Børje Furunes 9
Opplysninger om deg i løpet av dagen 26.03.2010 Børje Furunes 10
26.03.2010 Børje Furunes 11
Adgangskontroll Behandlingsgrunnlag 8f) Brukes det til annet enn å ivareta interne sikkerhetsmessige forhold må det innhentes samtykke Bedriftens system for tidsregistrering kan bruke samme leser og system, men kobling krever samtykke Begrenset adgang til å benytte fingeravtrykk og lignende ( 12) Rema 1000 - Esso 26.03.2010 Børje Furunes 12
26.03.2010 Børje Furunes 13
26.03.2010 Børje Furunes 14
Utro på en mandag Ansatte surfer aller heftigst etter f eks ny jobb klokken 12 og 14 på mandager. Så faller intensiteten ettersom dagene går, for å vise et visst oppsving på fredag, før de hjemlige plikter kaller 26.03.2010 Børje Furunes 15
26.03.2010 Børje Furunes 16
http://www.youtube.com/watch?v=rsnxe2791y g&feature=fvw 26.03.2010 Børje Furunes 17
Trygdesvindel avslørt på Facebook En kvinne er dømt til seks måneders ubetinget fengsel for trygdesvindel, etter at hun oppga på Facebook av hun var samboer. Tobarnsmoren fikk utbetalt over 350.000 kroner i utvidet småbarnstillegg, bidragsforskudd og overgangsstønad 26.03.2010 Børje Furunes 18
Sjefen er ei hensynløs kjerring.» Det skrev en ansatt i varehandelen i statusfeltet sitt på nettsamfunnet Facebook - Jeg tenkte ikke at Facebook var et offentlig medium. Jeg tenkte at å skrive noe der var som å snakke med vennene mine, legger hun til. 26.03.2010 Børje Furunes 19
Hva er dette? 26.03.2010 Børje Furunes 20
26.03.2010 Børje Furunes 21
Teknologiene gjør det enkelt for brukerne Mange har trådløse nettverk hjemme. Det er lettvint, fordi man slipper å installere ledninger der man vil bruke datautstyret. Få sikrer nettet sitt. Det er det samme som å legge inn nettverkskontakter til naboene samtidig som man reklamerer på de nærmeste lyktestolpene.
Hva deler vi med andre? 26.03.2010 Børje Furunes 23
La eksen naken på nett En sarping la ut nakenbilder av ekskjæresten på internett for å hevne seg. 50 000 kroner i erstatning etter å ha lagt ut nakenbilder av ekskjæresten sin på internett. Distribueringen av de svært private bildene var en hevnaksjon fra mannens side. Tilbud om overvåkning 26.03.2010 Børje Furunes 24
http://www.nettavisen.no/it/article2669334.ece 26.03.2010 Børje Furunes 25
Ny teknologi
Mobilens muligheter Browser WEB- Services Tale Electronic ID PKI evoting Message services Electronic Signature Games/ Lotto epurse Visa, Bank Payment/ mcommerce Video/Music/ Camera/ MMS Data communications Physical vicinity? On net? Mapapplications Navigation PKI-signed biometric templates Present or absent? Electronic passport Location services (m)key transfer services Ditt identitetsmerke vil settes i mange sammenhenger via mobilen 26.03.2010 Børje Furunes 27
Sporing av mobil telefoner Autozeek lar deg spore en eller flere mobiltelefoner «live» på Internett med elektronisk kart. GSM-posisjonering gjør det mulig å spore helt vanlige mobiltelefoner. Nå kan Autozeek gjøre dens posisjon tilgjengelig med elektroniske kart på Internett Tjenesten kostet 119 kroner i måneden og 2 kroner og 50 øre per posisjonering. Autozeek, Fleet Manager FleetOnline Norge og MapSolutions 26.03.2010 Børje Furunes 28
26.03.2010 Børje Furunes 29
26.03.2010 Børje Furunes 30
26.03.2010 Google Earth Børje Furunes 31
26.03.2010 Børje Furunes 32
26.03.2010 Børje Furunes 34
Storebror ser deg ved Oslo S Hvor mange i Oslo i dag? Nå ca 650 kameraer ved Oslo S 26.03.2010 Børje Furunes 35
50.000 øyne ser deg i Oslo Tallet utgjør omtrent ett kamera for hver tiende innbygger. Til sammenlikning har London ifølge studien UrbanEye 500.000 kameraer, ett for hver femtende London-boer. Biometriske kamera 26.03.2010 Børje Furunes 36
26.03.2010 Børje Furunes 37
Trådløse soner Google Earth 26.03.2010 Børje Furunes 39 http://www.youtube.com/watch?v=3kswjukfyti&feature=related
Hva er vi redde for? 26.03.2010 Børje Furunes 42
26.03.2010 Børje Furunes 43
Greit når du veit at du går med med en brikke. Noen har den til og med satt inn under huden (som adgangsdings for eksklusive klubber) Men hva hvis de ubevisst finnes i klærne dine? Eller i barberhøvelen din for den slags skyld? 26.03.2010 Børje Furunes 44
Radio Frekvens Identifikasjon av varer og mer. Spore mennesker Sykehus, gamlehjem Pasienter, personell på sykehus, spedbarn, skolebarn Hunder og katter. Erstatte adgangskort Identifikasjon av dyr Rasedyr, veddeløpsdyr - Mat-typing & dosering Andre formål Kompetanseutvikling Ved ulykker Måle arbeids prestasjoner Uniformerer 26.03.2010 Børje Furunes 45
26.03.2010 Børje Furunes 46
RFID - nå også på tape Induksjonsspole Selve chip en Pris pr. RFID tag: ned mot 5 cent (US) 26.03.2010 Børje Furunes 47
RFID RFID identifiserer de gjenstander de er festet til gjennom utsendelse av radiobølger. Slike brukes i dag til å effektivisere vareflyt og lagerhåndtering innen vareproduksjon og i transportsektoren. Merking av sluttprodukter i varehandelen er et område hvor det forventes store utfordringer knyttet til personvernet.
Boycott Gillette Products! Click for details. Andre: - Wal-Mart -Benetton: http://boycottbenetton.o Benetton was considering putting RFID trac in their clothing that can be read from a dis used to monitor the people wearing them. Annet: http://www.epic.org/privacy/rfid/ 26.03.2010 Børje Furunes 50
26.03.2010 Børje Furunes 51
26.03.2010 Børje Furunes 52
RFID Fortsetter Sjekkliste for tillitsvalgte og ansatte Fått noen informasjon? Helse konsekvenser? Rasjonaliserings konsekvenser Prestasjonsmåling? Sjekke hvor dere befinner dere? 26.03.2010 Børje Furunes 53
Googling hva er det? Informasjon om deg på nettet kan nemlig hindre deg fra at du får drømmejobben Sjefen og nye sjefer ser etter deg på nettet. Norske rekrutteringsselskap bekrefter at det er relativt vanlig å ta i bruk nettet i jakt på mer bakgrunns informasjon om de potensielle arbeidstakere. 26.03.2010 Børje Furunes 54
26.03.2010 Børje Furunes 55
26.03.2010 Børje Furunes 56
26.03.2010 Børje Furunes 57
USA krever alle opplysninger om deg 26.03.2010 Børje Furunes 58
26.03.2010 Børje Furunes 59
ARJIS 26.03.2010 Børje Furunes 60
Arjis Crime & Disorder 26.03.2010 Børje Furunes 61
Arrestasjoner 26.03.2010 Børje Furunes 62
California Sex Offender Locator Map 26.03.2010 Børje Furunes 63
Sex-Kriminelle i Los Angeles Los Angeles 26.03.2010 Børje Furunes 64
26 March 2010
Hva har n gjort? 26.03.2010 Børje Furunes 66
26.03.2010 Børje Furunes 68
26.03.2010 Børje Furunes 69
26.03.2010 Børje Furunes 70
Overvåket med en pizza= 26.03.2010 Børje Furunes 71
26.03.2010 Børje Furunes 72
PERSONVERN I ARBEIDSLIVET - 26.03.2010 Børje Furunes 73 Noen som ser meg musikk=
26.03.2010 Børje Furunes 74
Former for overvåkning Adgangskontroll ITV (video/fjernsyn) E-post Mystory shopper og ansatt Internettbruk (web) Edb-programmer/tastatur Tlf-logger/opptak Mobil posisjonering RFID (Radio Frekvens Identifikasjon) GPS / Ferdskrivere Rusmiddeltesting Ransaking Bometriske verktøy Sladrebrikke i alle PCer Hvor har du vært? Når var du der? Hva gjorde du? Hvem snakker du med? Hva snakket du om? Hvem snakket du om? Hvor er du? Hvor lenge? Hvor ofte? 26.03.2010 Børje Furunes 75
HKs medlemmers tilbakemeldinger Hemmelig kunde Ransaking av ansatte Kameraovervåkning E-post og logging RFID i lager/automatisering Mobilposisjonering Varsling i arbeidslivet ( whistleblowing )? I Fagforbundet 26.03.2010 Børje Furunes 76
Arbeidsgivers kontrolladgang og verktøykassa Styringsretten Arbeidsmiljøloven Kap. 9 Personopplysningsloven Avtaler F. eks. Hovedavtalen mellom LO/NHO/KS...osv Tilleggsavtale IV - Rammeavtale om teknologisk utvikling Tilleggsavtale V - Avtale om kontrolltiltak i bedriften 26.03.2010 Børje Furunes 77
Dine rettigheter Personopplysningsloven og en rekke andre lover gir en rekke rettigheter i forhold til opplysninger om en selv. Et hovedprinsipp i personopplysningsloven er at man i større grad skal ha kontroll med opplysninger om seg selv. Kontrollen ønsker man å oppnå blant annet ved at den enkelte skal informeres, ved innsynsrett og strenge krav til når personopplysninger skal kunne brukes. 26.03.2010 Børje Furunes 78
Norske regler- Lover og forskrifter Personopplysningsloven Personopplysningsforskriften Forskrift om post- og telegramkontroll m.v. Kommunikasjonskontrollforskriften Lov om Schengen informasjonssystem (SIS). 26.03.2010 Børje Furunes 79
Arbeidsmiljøloven 9-1. Vilkår for kontrolltiltak i virksomheten (1) Arbeidsgiver kan bare iverksette kontrolltiltak overfor arbeidstaker når tiltaket har saklig grunn i virksomhetens forhold og det ikke innebærer en uforholdsmessig belastning for arbeidstakeren. (2) Personopplysningsloven gjelder for arbeidsgivers behandling av opplysninger om arbeidstakere i forbindelse med kontrolltiltak med mindre annet er fastsatt i denne eller annen lov. 26.03.2010 Børje Furunes 80
Arbeidsmiljøloven 9-1. kontrolltiltak =Vidt spekter av tiltak, ingen nedre grense Vedvarende saklig grunn og avsluttes når behov eller formål begrunnet i tiltaket ikke lengre eksisterer eller betydelig redusert uforholdsmessig belastning for arbeidstakeren= Summen av kontrolltiltak vekt prinsippet (2) Personopplysningsloven gjelder for arbeidsgivers behandling av opplysninger om arbeidstakere i forbindelse med kontrolltiltak med mindre annet er fastsatt i denne eller annen lov. 26.03.2010 Børje Furunes 81
Arbeidsmiljøloven kap. 9 Kontroll tiltak i virksomheten Før tiltaket iverksettes skal arbeidsgiver gi de berørte arbeidstakerne informasjon om: Praktiske Konsekvenser Kontrolltiltakets varighet Formålet med tiltaket 26.03.2010 Børje Furunes 82
Arbeidsmiljøloven kap. 9 Kontroll tiltak i virksomheten 9-2 Drøfting, informasjon og evaluering av kontrolltiltak. Nr 1 - Arbeidsgiver plikter å drøfte så tidlig som mulig å drøfte behov, utforming,gjennomføring og vesentlige endringer av kontroll tiltak i virksomhetens med arbeidstakerens tillitsvalgte Evaluering Ikke varige tiltak 26.03.2010 Børje Furunes 83
Innhenting av helseopplysninger ved ansettelse, 9-3 Arbeidsgiver må ikke i utlysningen etter nye arbeidstakere eller på annen måte be om at søkerne skal gi andre helseopplysninger enn dem som er nødvendige for å utføre de arbeidsoppgaver som knytter seg til stillingen 26.03.2010 Børje Furunes 84
Medisinske undersøkelser av arbeidssøkere og arbeidstakere, 9-4 Arbeidsgiver kan bare kreve at medisinske undersøkelser skal foretas: når det følger av lov eller forskrift. ved stillinger som innebærer særlig risiko. når arbeidsgiver finner det nødvendig for å verne liv eller helse. 26.03.2010 Børje Furunes 85
Forarbeider for loven Personopplysningsloven Ot prp nr 92 (1998-1999) Om lov om behandling av personopplysninger (personopplysningsloven) NOU 1997:19 Et bedre personvern - forslag til lov om behandling av personopplysninger Innst.O.nr.51 (1999-2000) Innstilling fra justiskomiteen om lov om behandling av personopplysninger (personopplysningsloven) St.prp. nr. 34 (1999-2000) Om samtykke til godkjenning av EØS-komiteens beslutning nr. 83/1999 av 25. juni 1999 om endring av EØS-avtalens protokoll 37 og vedlegg XI (telekommunikasjonstjenester) Helseregisterloven Ot prp nr 5 (1999-2000) Om lov om helseregistre og behandling av helseopplysninger (helseregisterloven) Bransjevise adferdsnormer Vær varsom plakat særlig kap. 4). ForbrukerInspektørene 26.03.2010 Børje Furunes 86
Viktige lover som støtter personvernet Straffeloven Forbud mot ransaking og brevåpning: spesielt 145. 116, 122, og Privatlivets fred: 147 (annet ledd) og 390. Telefonavlytting: 145a. Hindring av innsynsrett: 146. Falske opplysninger 171 og 173 Arbeidsmiljøloven Arbeidsmiljølovens 4 sier bl.a i punkt 1 følgende (1) Arbeidsmiljøet i virksomheten skal være fullt forsvarlig ut fra en enkeltvis og samlet vurdering av faktorer i arbeidsmiljøet som kan innvirke på arbeidstakernes fysiske og psykiske helse og velferd. 4-3. Krav til det psykososiale arbeidsmiljøet (1) Arbeidet skal legges til rette slik at arbeidstakers integritet og verdighet ivaretas. 26.03.2010 Børje Furunes 87
Viktige lover som støtter personvernet Straffeloven & 227 og 390a - Truselen er skikket til at fremkalde alvorlig Frygt, eller som medvirker til saadan trusel - Sjikane: Den som ved skremmende eller plagsom opptreden eller annen hensynsløs atferd krenker en annens fred eller som medvirker hertil straffes med bøter eller fengsel inntil 2 år, se straffelovens 390a. http://sms til eks med halshugget bamse Åndsverkslovens & 45c 26.03.2010 Børje Furunes 88
Varsling i arbeidslivet ( whistle-blowing ) Plikt til å tilrettelegge for intern varsling Arbeidsmiljøloven slås det fast at arbeidsgiveren skal legge til rette eller utarbeide rutiner for intern varsling om kritikkverdige forhold i virksomheten. (Arbeidsmiljøloven 3-6) 26.03.2010 Børje Furunes 89
26.03.2010 Børje Furunes 91
26.03.2010 Børje Furunes 92
Hva er vi redde for? 26.03.2010 Børje Furunes 93
Ransaking, jur., Tvangsmiddel som består i at en person, en bolig, et romm.m. blir undersøkt for om mulig å finne bevis for et straffbart forhold. Etter Grl. 102 må r. bare finne sted i kriminelle tilfeller. Er som utgangspunkt betinget av rettens beslutning, men er det fare ved opphold, kan beslutningen treffes av påtalemyndigheten, og i visse tilfeller kan politi foreta r. uten slik beslutning. Straffeloven Forbud mot ransaking og brevåpning: spesielt 145. 116, 122, og 26.03.2010 Børje Furunes 94
Dømt for ulovlig ransaking i Trondheim Tingsretten dømte to politibetjenter for å ha ransaket en leilighet i Trondheim uten tillatelse. De to måtte betale en personlig bot for grov uforstand i tjenesten. 26.03.2010 Børje Furunes 95
Ransaking av ansatte Om de ansatte har inngått en avtale med arbeidsgiver om at dette er ok, eller om arbeidstaker har fått informasjon om dette ved ansettelse (f.eks. hvis det er nedfelt i et arbeidsreglement) vil også være et moment ved vurdering om arbeidsgiver kan gjøre dette. Arbeidsgiver må i alle tilfelle ha saklig grunn for å gjøre en slik ransaking av ansatte. Personlig ransaking av klær, kofferter, vesker osv. kan ikke gjøres med hjemmel i krrl. 25. Er det behov for fysisk ransaking må politiet koples inn, og vilkårene i straffeprosessloven 195 være oppfylt (skjellig grunn til mistanke osv.). 26.03.2010 Børje Furunes 96
Andre lover som støtter personvernet forts. Offentlighetsloven Offentlige dokumenter skal være tilgjengelig for almenheten, men det er unntak for bl.a. dokumenter med personopplysninger i offentlighetsloven, 5a og 6. Forvaltningsloven og litt generelt om taushetsplikt I forvaltningsloven 13 gis regler for taushetsplikt når tjenestemenn får kjennskap til personopplysninger. Denne paragrafen får anvendelse på en rekke andre lover: Barnehageloven ( 21), barnevernloven ( 6-7), trygdeloven ( 21-9), kommunehelseloven ( 6-6), politiloven ( 24), sosialloven ( 8-8), skoleloven ( 42),... Taushetsplikt er også gitt i familievernloven ( 5), fengselsloven ( 7), fysioterapiloven ( 8), sykepleierloven ( 11), helsepersonelloven ( 5), jordmorloven ( 6), apotekloven ( 23), postloven ( 13), telekommunikasjonsloven ( 7-7, 9-1 og 9-3), tolloven ( 8), valgloven ( 90), statistikkloven ( 2-4),... Straffeprosessloven, domstolloven, mm I straffeprosessloven 61a hjemles taushetsplikt. Denne har bl.a. anvendelse i politiloven 24. Se også 118, 119, 121, 125, 159, 168, 169, 170, 216i (2. ledd) og 230 i straffeprosessloven. Tilsvarende gjelder for tvistemålsloven 204, 205, 206, 206a, 209a og 284 Domstolloven hjemler taushetsplikt i 218 (3. ledd). Se også 234. Legeloven og tannlegeloven Legelovens 31 og tannlegeloven 31 fastlegger den generelle taushetsplikten. I legeloven, 26 legges det begrensninger i opplysningsplikten til pårørende ved syke barn. Pasientens innsynrett er hjemlet i legeloven 46 og i tannlegeloven 43. Arbeidsmiljøloven 26.03.2010 Børje Furunes 97
Tagged sende meldinger, gi kommentarer, «poste» artikkler, status, søke bilder 26.03.2010 Børje Furunes 98
Bilde fra et julebord? 26.03.2010 Børje Furunes 100
Endringen av det kollektive samtykkes betydning for behandling av personopplysninger
Bilder på nett- Åndsverkloven 45c Skille mellom situasjonsbilder (ikke samtykke) og portretter (samtykke). Åndsverkloven 45c Fotografi som avbilder en person kan ikke gjengis eller vises offentlig uten samtykke av den avbildede, unntatt når: a) avbildningen har aktuell og allmenn interesse, b) avbildningen av personen er mindre viktig enn hovedinnholdet i bildet, c) bildet gjengir forsamlinger, folketog i friluft eller forhold eller hendelser som har allmenn interesse, 26.03.2010 Børje Furunes 102
Trådløse soner Google Earth 26.03.2010 Børje Furunes 103 http://www.youtube.com/watch?v=3kswjukfyti&feature=related
Personopplysningsloven Formål: å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger ( 1) Personopplysning: opplysninger og vurderinger som kan knyttes til en enkeltperson ( 2 nr. 1) Behandling av personopplysninger: enhver bruk av personopplysninger, som f. eks. innsamling, registrering, lagring og utlevering eller en kombinasjon av slike bruksmåter ( 2 nr. 2) 26.03.2010 Børje Furunes 104
Personopplysning 26.03.2010 Børje Furunes 105
Når kan kontrolltiltak iverksettes Må være saklig begrunnet i virksomheten ( 11 b) Må ha et rettslig grunnlag ( 8) Samtykke Lovhjemmel Avtale med den registrerte, rettslig forpliktelse, ivareta den registrertes vitale interesser, allmenn interesse, utøve offentlig myndighet Ivareta en berettiget interesse og hensynet til den enkeltes personvern ikke overstiger denne interessen 26.03.2010 Børje Furunes 106
Samtykke, 2 nr. 7 - frivillig, - uttrykkelig og - informert - erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv. Konkludent adferd er ikke tilstrekkelig Passivitet kan ikke tolkes som et ja 26.03.2010 Børje Furunes 107
Interesseavveiningen etter 8 f Arbeidsgivers berettigede interesse Hensynet til den registrertes personvern Berettiget interesse 26.03.2010 Børje Furunes 108
Mannen i bakgata 26.03.2010 Børje Furunes 109
Personverninteresser og -krav Interessen i å bestemme over opplysninger om egen person -Krav om minimalitet og beskyttelse av identitet Interessen i innsyn og kunnskap -Krav om konfidensialitet -Krav om rettsinformasjon -Krav om beskyttet privatliv -Krav om generelt innsyn -Krav om vern av individets identitetsbilde -Krav om individuelt innsyn -Krav om etablert tillitsforhold -Krav om begrunnelse Interessen i forholdsmessig kontroll -Krav til forholdsmessighet mellom veiledning og kontroll -Krav til forholdsmessighet mellom kontrollgrupper -Krav til forholdsmessighet mellom forhåndskontroll og etterkontroll -Krav til forholdsmessighet mellom kontroll til de registrertes gunst og til deres -ugunst -Krav til forholdsmessighet ekstern og intern kontroll Interessen i brukervennlig behandling -Krav om lydhørhet -Krav om forståelighet -Krav om uhindret dialog -Krav om driftsstabilitet Interessen i personvernanalyse -Krav om konsekvensanalyse -Krav om løpende kontroll -Krav om evaluering 26.03.2010 Børje Furunes 110
Noen ser deg, De vet hva du gjør De hører hva du sier. hver eneste dag... 26.03.2010 Børje Furunes 111
Lagring Før kunne man være rimelig sikker på at elektroniske spor ble overskrevet relativt raskt. Men ikke nå ----- Lagringskapasiteten er nå blitt så billig at man ikke lenger uten videre kan regne med at opplysninger forsvinner av seg selv. http://www.youtube.com/watch?v=t4wv33wpm M0 http://www.youtube.com/watch?v=i20k86kuwn A&feature=player_embedded
26.03.2010 Børje Furunes 114
ID tyveri - http://www1.nrk.no/nett-tv/indeks/188276 DnB NOR: 439 saker i 2009. Totalt tap: 11,6 mill NOK Økning med 95,98% ift. 2008 Kort borte i posten øker med 30,28% Sparebank 1: 151 saker i felles register i perioden januar - september 2009 Telenor: 1395 mobilabonnement bestilt med falsk ID i 2009, mot 1361 i 2008. Totalt tap 8,2 mill NOK i 2008 Troms politidistrikt mottok 13 anmeldelser bare i januar 2009 26.03.2010 Børje Furunes 116
ID tyveri forebygge- http://www.idtyveri.info/ Ikke oppgi personlig informasjon til ukjente på telefon, gjennom e-post, eller over Internett med mindre det er du selv som har initiert trafikken. Dersom postkassen din ikke er låsbar, bør du vurdere å sette lås på. Tenk igjennom hvor mye informasjon som flyter gjennom denne kassen. Da vil du raskt se at den vil kunne være et førstevalg for kriminelle som ønsker informasjon om deg. 26.03.2010 Børje Furunes 117
ID tyveri forebygge - http://www.idtyveri.info/ Unngå å ha informasjon som kan gi tilgang til beskyttelsesverdig informasjon i lommebok eller vesker. Klikk aldri på linker i e-post fra institusjoner du tilsynelatende kjenner for så å legge inn personinformasjon på siden du kommer til; skriv heller inn adressen du kjenner fra før. Ha dine personlige data dine personopplysninger på et sikkert sted Vær oppmerksom på at det går an å reservere seg mot at noen endrer din postadresse via Internett. Kontakt eventuelt Posten om dette. Rive i stykker dokumenter som inneholder personopplysninger, før disse kastes i avfallsdunken. 26.03.2010 Børje Furunes 118
Slett meg.no Http://www.slettmeg.no/ 26.03.2010 Børje Furunes 119
Datatilsynet - Meldingsdatabase http://hetti.datatilsynet.no/melding/report_searc h.pl http://hetti.datatilsynet.no/melding/report_view. pl?id=31752 http://hetti.datatilsynet.no/melding/report_view. pl?id=30029 26.03.2010 Børje Furunes 120
date 26.03.2010 Børje Furunes 121
26.03.2010 Børje Furunes 123
Hva er dette? 26.03.2010 Børje Furunes 124 http://www.verichipcorp.com/
Innsamling og lagring av opplysninger om de ansatte 26.03.2010 Børje Furunes 125
Ved ansettelse - Aml 13-4 Innhenting av opplysninger ved ansettelse - forbudt å spørre om seksuell orientering, politiske spørsmål, fagorganisering - Aml. 9-3 Innhenting av helseopplysninger ved ansettelse - forbudt å be om andre helseopplysninger enn dem som er nødvendige for å utføre de arbeidsoppgaver som knytter seg til stillingen. - Aml. 9-4. Medisinske undersøkelser av arbeidssøkere - Arbeidsgiver må heller ikke iverksette tiltak for å innhente helseopplysninger på annen måte. Samtykke kan ikke oppheve forbud i lov 26.03.2010 Børje Furunes 128
Hva kan (og skal?) arbeidsgiver samle inn Personalia; navn, adresse, fødselsdato Lønnsinformasjon; avtalt lønn, kontonummer, skattekort, bidragsstrekk, Opplysning om nærmeste pårørende; navn og telefonnummer i tilfelle skade eller lignende Opplysning om ansvar for barn og evt. kronisk sykdom for beregning av sykedager Avtaler om lån, hjemmekontor, Helseopplysninger innefor rammen av Aml., særlovgivning og det som er nødvendig for å tilrettelegge arbeidsplassen Vandelsopplysninger KUN dersom lovhjemmel Kredittvurdering KUN ved stillinger med økonomisk ansvar 26.03.2010 Børje Furunes 129
Opplysninger som oppstår underveis i arbeidsforholdet Klager, advarsler, tjenestelige tilrettevisninger og lignende - JA, men hvor lenge? - Opplysning om tid tilbrakt på jobb og hvor du har vært, hentet fra adgangskontrollsystem, overvåkningskamera, gps - hva kan disse opplysningene lovlig brukes til? - Opplysning om telefonbruk, databruk m.m. - hvor går grensen mot ulovlig overvåkning? - Opplysninger om sykdom eller rusmisbruk - hvor langt strekker arbeidsmiljøloven seg? 26.03.2010 Børje Furunes 130
Sensitive personopplysninger 2 nr. 8 uttømmende oppregning Rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning At en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling Helseforhold Seksuelle forhold - NB Medlemskap i fagforening NB! Opplysninger om økonomiske forhold er ikke sensitive. Heller ikke fødselsnummer! 26.03.2010 Børje Furunes 131
Internett Opplysninger om ansatte. Kan publisere opplysninger knyttet til arbeidsforhold som navn, ansvar, tlf, e-postadresse. Må samtykke til bilde Postjournal på Internett,. Kritisk til publisering av postjournal. Mulighet for å utarbeide personprofiler, Dokumenter på Internett. Bør være varsomme med å legge dokumenter knyttet til enkeltpersoner på nett. Menneskelige feil ved føring og teknisk svikt ved publisering kan føre til at personopplysninger blir publisert på nett. Offentlighetsloven skal være et instrument for demokratisk kontroll ikke et instrument for å tilfredsstille den enkeltes nysgjerrighet i forhold til saker andre enkeltpersoner til enhver tid har gående i forskjellige offentlige organer. 26.03.2010 Børje Furunes 133
26.03.2010 Børje Furunes 134
Rett til innsyn i opplysninger hos arbeidsgiver - 18 Enhver har rett til grunninformasjon om behandlingen Hva slags behandling av personopplysninger Navn og adresse på den behandlingsansvarlige Hvem som har daglig ansvar for behandlingene Formålet med behandlingen Hvilke typer personopplysninger som behandles Om eventuell utlevering til andre I tillegg kan den registrete (ansatte) kreve å få vite Hva er registrert om meg? Sikkerhetstiltak? Utdypning av informasjonen som gis til enhver Unntak: 18 siste ledd og 23 NB! Innsynsretten gjelder uavhengig av hvor personopplysningene er lagret Innsynsretten muliggjør ivaretakelsen av de øvrige rettighetene i loven 26.03.2010 Børje Furunes 135
Personalmappe -innsyn Personale: Bare de som arbeider med virksomhetens personalsaker og har saklig behov i sitt arbeid, skal ha adgang til personalmappe (jf. forskriftene til personopplysningsloven kap. IV, 4-16). Arkivpersonale skal ha fått delegert myndighet. Dette gjelder også for eldre bortsatte personalarkiv. Den ansatte som part har rett til innsyn i (ikke utlevering) Egen fysisk mappe - etter offentlighetsloven og personopplysningsloven 18 med de begrensninger som følger av offentlighetloven 19 Hvilke opplysninger som er lagret om den ansatte i elektronisk register (personopplysningsloven 18) 26.03.2010 Børje Furunes 136
Datatilsynet avklarer (1) Innsyn i lønnsopplysninger. Utgangspunkt, lønn er ikke taushetsbelagt opplysning etter forvaltningsloven 13, men personopplysning etter personregisterloven 2 (ikke utlevers uten hjemmel). Dette gir ulike regler for offentlig og privat sektor. Offentlig sektor offentlighetsloven gir innsyn i Lønnsopplysninger om ansatte Forhandlingsprotokoller (lønnsforhandlinger) Privat sektor - Arbeidsgiver har ikke generell adgang til å gi opplysninger om individuell lønn uten samtykke*. Ved lønnsforhandlinger**: Tillitsvalgte kan få tilgang ved å undertegne taushetserklæring Lønn for stillingskategori (gruppenivå 5 eller flere) uten erklæring 26.03.2010 Børje Furunes 137
Datatilsynet (m.m.) avklarer (2) Fødselsnummer Følsom opplysning, ikke sensitiv/taushetsbelagt: Skal ikke brukes på postsendinger, men kan brukes på faktura. Utelates på publisering av dokumenter.* Kan brukes internt dersom nødvendig, eks. som ordningsprinsipp for arkiver (personalmapper). AKAN-opplysninger. Skal kun være tilgjengelig for bedriftshelsetjenesten, AKAN og evt. andre underlagt lovbestemt kompetansekrav/taushetsplikt Bedriftslege. Kan kun gi helseopplysninger til arbeidsgiver dersom skriftlig samtykke fra ansatt Politiattest og vandelsopplysninger. Datatilsynet: Behov for lagring skal vurderes. Men: Attest tilintetgjøres etter å ha vært benyttet til oppgitte formål. ** (AT: Registrering i journal bevis for mottatt attest). Må ha lovhjemmel *** for å motta opplysninger om vandel. Datatilsynet: Søkere som ikke ansettes, attest makuleres/sendes tilbake. * 26.03.2010 Børje Furunes 138
Lagringstid for personopplysninger Utgangspunkt: nødvendig for formålet ( 28) For en del opplysninger innebærer dette lagring i hele ansettelsesperioden og også etter at arbeidsforholdet er avsluttet Regnskapslovgivning, skattelovgivning Bedriftshistorie hvem var ansatt når og i hvilken stilling Adresselister for pensjonistforeningen og andre velferdstiltak med samtykke Rettssaker til rettskraftig avgjørelse om oppsigelse/avskjed foreligger evt. til foreldelse inntreffer 26.03.2010 Børje Furunes 139
Innsyn: Du kan henvende deg til en hvilken som helst virksomhet og få vite hvordan personopplysninger om deg behandles, hvor de er hentet fra. Du kan også kreve å få vite hvem opplysningene vil bli utlevert til. Opplysninger som ikke lenger er nødvendige for formålet skal slettes eller sperres. Det gjelder ikke dersom opplysningene skal oppbevares i henhold til arkivloven eller annen lovgivning. Dersom det er registrert opplysninger som er sterkt belastende, kan du kreve at opplysningene sperres. 26.03.2010 Børje Furunes 141
Retting av feil, sletting og sperring Man kan kreve at feilaktige eller mangelfulle opplysninger om en blir rettet I utgangspunktet skal virksomheten av eget tiltak rette mangelfulle eller feilaktige opplysninger. Det er ikke alltid lett for den som behandler store mengder opplysninger å bli klar over at noe mangler eller er feil. Datatilsynet anbefaler derfor at alle bruker innsynsretten aktivt, og gir beskjed til virksomheten om noe er feil. 26.03.2010 Børje Furunes 142
Innsyn Informasjon: Når en virksomhet ber om opplysninger, skal du få vite om det er frivillig å svare, hva opplysningene skal brukes til og om de vil bli utlevert. Dersom en virksomhet samler oppysninger fra andre kilder, skal du som hovedregel informeres. Svarfrist: Ber du om informasjon, skal svaret komme innen 30 dager. 26.03.2010 Børje Furunes 143
Retting & Sletting Retting - 27 Uriktige, ufullstendige og opplysninger Eget tiltak eller på begjæring Sletting - 28 Opplysninger som ikke lenger enn nødvendig Unntak : lovpålagt lagring 26.03.2010 Børje Furunes 144
Noen ser deg, De vet hva du gjør De hører hva du sier. hver eneste dag... 26.03.2010 Børje Furunes 150
26.03.2010 Børje Furunes 153
Kameraovervåkning Dersom kameraovervåking en ikke er nødvendig, er den heller ikke lovlig. Kameraovervåking skal normalt ikke finne sted dersom problemet kan løses eller risikoen minimeres gjennom alternative tiltak. 26.03.2010 Børje Furunes 154
Fjernsynsovervåkning video: Regulert i lovens kapittel 7 og forskriftens kapittel 8 i tillegg må 8,9 og 11 følges vedvarende eller regelmessig gjentatt personovervåkning hvor lenge/hvor mange ganger? Web kamera kan man gjenkjenne enkeltpersoner? fjernbetjent eller automatisk virkende fjernsynskamera eller lignende apparat Fjernsynsovervåkning uten opptak -samtid Videofilming Manuelt betjent fotoapparat eller videokamera faller utenfor Tilleggsvilkår om særskilt behov ved overvåkning av sted der begrenset krets av personer ferdes ( 38) 26.03.2010 Børje Furunes 155
Fjernsynsovervåkning Plikter for den behandlingsansvarlige Varsle om at overvåkning finner sted ( 40) Melding til Datatilsynet ( 37, 2. ledd) Ikke utlevere personopplysninger fra overvåkningen uten lovhjemmel eller samtykke Unntak: utlevering til politiet Oslo politiet dømt Sletting når det ikke lenger er saklig grunn for oppbevaring ( 28) Utg.pkt. 7 dager (POF 8-4) Post og bank 3 mnd. Sikre personopplysningene (POF 8-2 og POL 13 og 14 Konfidensialitet, integritet og tilgjengelighet 26.03.2010 Børje Furunes 156
NÅR ER DET LOV Å OVERVÅKE? Tilbud om overvåkning 26.03.2010 Børje Furunes 157
Kameraovervåking Kameraovervåking av personer som kan gjenkjennes er et inngrep i personvernet. Slik overvåking er derfor lovregulert. Dersom kameraovervåkingen ikke er nødvendig, er den heller ikke lovlig. Kameraovervåking skal normalt ikke finne sted dersom problemet kan løses eller risikoen minimeres gjennom alternative tiltak. Datatilsynet har laget en veileder som gjennomgår når det er lov å overvåke med kamera. 26.03.2010 Børje Furunes 158
Utlevering av opptak og varsling om overvåking Utlevering bare skje fra databehandler til behandlingsansvarlige dersom den / de som er avbildet samtykker dersom utleveringsadgangen følger av lov til politiets etterforskning av straffbare handlinger og ulykker, hvis ikke lovbestemt taushetsplikt er til hinder Varsling Skal skje når fjernsynsovervåkingen skjer på offentlig sted hvor en begrenset krets av personer ferdes jevnlig Varselet skal inneholde opplysning om at overvåking skjer hvem som er behandlingsansvarlig for overvåkingen 26.03.2010 Børje Furunes 159
Overvåket med en pizza= 26.03.2010 Børje Furunes 160
26.03.2010 Børje Furunes 161
Trådløse soner Google Earth 26.03.2010 Børje Furunes 162 http://www.youtube.com/watch?v=3kswjukfyti&feature=related
Hva er vi redde for? 26.03.2010 Børje Furunes 163
26.03.2010 Børje Furunes 164
Telefonbruk 26.03.2010 Børje Furunes 166
Telefonbruk Satellittnavigering via GPS( Global positioning System og GPRS Avstand til mobilmaster - 10-25 meter Sammensmelting med GPS mottakere og kart tjenester Hvor er nærmeste Venn, finne bank - automat Spore firmabiler, beveger du eller bilen seg. Med karttjenester kan man se om ansatte f.eks. er på kafé? 26.03.2010 Børje Furunes 167
Telefonkontroll Utgangspunkt: forbudt å avlytte samtaler man ikke selv deltar i (strl. 145) Arbeidsgiver må kunne vise til konkret hjemmel Opplæring - 8 f Bruk til nye uforenelige formål krever samtykke (Pol. 11 c) Husk informasjonsplikten!!! Overvåkning av telefonregninger 26.03.2010 Børje Furunes 168
Telefonbruk Mobilposisjonering Spesifisert regning krever avtale Både detaljregistrering av telefonbruk og opptak av samtaler må meldes inn til Datatilsynet. Tilsynet kan stoppe behandlinger som anses å være i strid med loven. 26.03.2010 Børje Furunes 169
26.03.2010 Børje Furunes 170
26.03.2010 Børje Furunes 171
Forslag nye regler Formålet med endringene er et forsøk å vekte hensynene til arbeidsgiver og arbeidstaker på en god måte. Straffeloven 145 Fengsel inntil 2 år 26.03.2010 Børje Furunes 173
Konkret foreslår Fornyingsdepartementet med en.veldig klar hovedregel: "Arbeidsgiver har ikke adgang til å gjennomsøke, åpne eller lese e-post i en ansatts personlige e-postkasse. Det samme gjelder for annen elektronisk kommunikasjon og for elektronisk lagrede opplysninger for øvrig. Arbeidsgiver har ikke adgang til å overvåke ansattes bruk av elektronisk utstyr, herunder bruk av Internett." 26.03.2010 Børje Furunes 174
Det gis dog noen konkrete unntak: Arbeidsgiver kan åpne en personlig e- postkasse for å sortere ut og lese virksomhetsrelatert e-post dersom: a) den ansatte er fraværende i mer enn tre arbeidsdager, b) den ansatte på tross av skriftlig pålegg ikke har sørget for videresending av e-post eller svar med opplysning om hvor virksomhetsrelatert e-post skal sendes og heller ikke på annen måte har gitt arbeidsgiver adgang til opplysningene og 26.03.2010 Børje Furunes 175
Nytt lov forslag Det gis dog noen konkrete unntak: c) det er god grunn til å tro at det er innkommet virksomhetsrelatert e-post og at behandlingen av denne av hensyn til virksomhetens drift ikke kan vente. Arbeidsgiver vil også kunne gjennomføre søk dersom det kan dokumenteres at det er mistanke om straffbart innhold (f.eks. barneporno), e-post i forbindelse med straffbar handlinger eller grove brudd på forhold rundt ansettelsen. 26.03.2010 Børje Furunes 176
Forslaget i korte trekk Utg. pkt.: Arbeidsgiver skal ikke gjøre innsyn i ansattes e-post Klare unntak for: Innsyn ved fravær Innsyn ved mistanke om straffbare forhold og illojalitet Innsyn ved arbeidsforholdets opphør Bestemmelsen kan i noen tilfeller fravikes gjennom instruks for bruk av e-post m.m. MEN: går bort fra samtykke som behandlingsgrunnlag OG: åpner for gebyr som alternativ til politianmeldelse ved brudd på bestemmelsene HKs høringssvar 26.03.2010 Børje Furunes 177
E-post kan knyttes til enkelt personer -Innholdet -opplysninger i systemet om avsender og mottaker Rt. 2002 s. 1500 Juridisk@virksomhet.no Ola.Normann@hotmail.no Ansatt@virksomhet.no 26.03.2010 Børje Furunes 180
Hvis e-posten ikke skal brukes privat. Gir det rett til innsyn? Med ansattes private e-post menes den e-post kontoen ansatte har tilgjenglig i sitt arbeid (peder.aas@bedriften.no) E-posten er ikke privat, men bruken kan være privat Privat e-post er e-post konti den ansatte har tilgang til utenfor arbeidsgivers kontroll (peder.aas@frisurf.no) Selv om det er bestemt at e-post systemet ikke kan benyttes til private formål, kan det ikke uten videre kreves innsyn i ansattes e-post 26.03.2010 Børje Furunes 182
Når har arbeidsgiver rett til innsyn? Må ha et grunnlag ( 8) Lovens utgangspunkt samtykke eller lovhjemmel Ivareta en berettiget interesse, som ikke overstiger hensynet til personens personvern ( 8f) Være saklig begrunnet i virksomheten ( 11 b) Skille mellom bedriftsrelatert e-post & privat e-post 26.03.2010 Børje Furunes 183
Innsyn i bedriftsrelatert e-post Meldinger sendt eller mottatt i forbindelse med utføring av arbeidsoppgaver, vil arbeidsgiver ha en berettiget interesse av å ha innsyn i Ulempen med innsyn (personverntrusselen) for de ansatte vil ikke være stor fordi det som leses har sammenheng med arbeidsoppgavene Arbeidsgiver kan derfor ha en berettiget interesse i innsyn i ansattes e-post knyttet til arbeidet ( 8 f) Innsyn i bedriftens post må anses som saklig begrunnet for arbeidsgivers virksomhet ( 11 b) 26.03.2010 Børje Furunes 184
Virksomhetsrelatert privat e-post Virksomhetsrelatert meldinger tilknyttet den ansattes oppgaver Privat meldinger som gir inntrykk av og være private Momenter av betydning Plasseringen av meldingen Merket privat? Avsender/mottaker adressen Emnelinjen NB! E-post til og fra den tillitsvalgte i anledning vervet som tillitsvalgt behandles som privat e-post Lurt å opprette egen adresse for dette 26.03.2010 Børje Furunes 185
Utgangspunkter Opplysningene i e-post systemet kan knyttes til enkelt personer; personopplysninger ( 2 nr1) Enhver bruk av opplysninger fra e-post systemet må skje etter personopplysningsloven Sikkerhetsforskriften pålegger bedriften å føre oversikt over hva slags opplysninger som behandles, og at systemet bare brukes til pålagte oppgaver ( 2-4, 2-8) Styringsretten gir arbeidsgiveren rett til å bestemme hva e-posten kan brukes til, også at den ikke skal benyttes til private formål 26.03.2010 Børje Furunes 190
Informasjon Innsyn i bedriftsrelatert e-post forutsetter at ansatte er informert om at dette kan forekomme. Informasjonsplikten ( 19) kan oppfylles som en del av arbeidsavtalen Er det ønskelig med innsyn, og det ikke er informert om at dette kan skje, må det innhentes samtykke. Ansatte har da en forventning om diskresjon Informasjon til avsender, anses uforholdsmessig vanskelig og er unntatt ( 20 b) 26.03.2010 Børje Furunes 191
Innsyn i privat e-post... Arbeidsgiver vil nok mene at det foreligger en berettiget interesse i å ha innsyn all e-post til den ansatte Innsyn kan krenke den ansattes kontroll med opplysninger om seg selv, og privatlivets fred Arbeidsgiver har derfor ikke rett til innsyn i den ansattes private e-post. Innsyn må eventuelt være basert på et samtykke fra den ansatte ( 8, jf 2 nr7) Innsyn i privatpost vil ikke anses som saklig begrunnet for arbeidsgivers virksomhet ( 11 b) 26.03.2010 Børje Furunes 192
Hva er bedriftsrelatert? Vurderes konkret - momenter: Er mottaker/avsender adressen en forretningsforbindelse? NB: Eventuell beskrivelse i emnelinjen Privat- Er det etter dette ikke avklart bør i utgangspunktet meldingen ikke leses. Bør klargjøres på forhånd for den ansatte hva som anses som bedriftsrelatert e-post, og når innsyn kan være aktuelt 26.03.2010 Børje Furunes 193
Før ønsket om innsyn oppstår Arbeidsgivers styringsrett og posisjon som eier av utstyret kan bestemme hvordan virksomhetens utstyr skal benyttes Instruks Må ikke gå lenger enn tillatt etter personopplysningsloven - formidles til alle de ansatte - revideres ved behov 26.03.2010 Børje Furunes 194
Når ønsket om innsyn er oppstått Har virksomheten laget retningslinjer? JA => følg dem Nei => interesseavveining etter 8 f Alternative metoder Virksomhetsrelatert Saklig begrunnet Ivaretar en berettiget interesse Hensynet til den ansatte Forutsetter informasjon på forhånd Privat Utgangspunkt: ikke saklig begrunnet Slettet e-post Behandles som privat e-post 26.03.2010 Børje Furunes 196
Velg en metode som kan etterprøves: Beskriv skriftlig begrunnelsen for innsyn La den ansatte være tilstede ved innsynet Benytt vitner f. eks. tillitsvalgte eller verneombud Beskriv valgt metode f. eks. søkeord Beskriv hvilke meldinger som er åpnet Beskriv resultatet av innsynet Hvis data skal benyttes som bevis: bruk profesjonelle 26.03.2010 Børje Furunes 197
Når innsyn er gjennomført Lukk alle åpnede e-poster Slett alle utskrifter og kopier av opplysninger dersom det ikke foreligger saklig grunn for fortsatt lagring NB! Utlevering av de innsamlede opplysningene er en selvstendig behandling som må oppfylle vilkårene i personopplysningsloven. 26.03.2010 Børje Furunes 198
Når arbeidsforholdet avsluttes Ansatte slutter: E-postkontoen skal slettes med mindre annet er avtalt NB! Melding om ny kontakt => aktiv konto Den ansatte bør: slette eventuelle private meldinger overføre eller arkivere virksomhetsrelatert e-post etter avtale med ledelsen gi beskjed til sine kontakter om eventuell ny adresse for privat og virksomhetsrelatert e-post Ansatte dør Saklig grunn for å sortere ut eventuelle virksomhetsrelaterte e-post Ingen selvfølge at pårørende skal få innsyn Dødsboet trer inn i økonomiske forpliktelser og innsyn må vurderes konkret i forhold til dette 26.03.2010 Børje Furunes 199
Trådløse soner Google Earth 26.03.2010 Børje Furunes 200 http://www.youtube.com/watch?v=3kswjukfyti&feature=related
Eksempel fra Norsk Hydro Den ansatte er fraværende - samtykke gis Program Management Support Reglene under gjelder når: den ansatte har godkjent tilgangen før selve fraværet i tilfeller hvor han/hun blir kontaktet f.eks. via telefon eller mail når han/hun er fraværende når personen er sluttet. a. På bakgrunn av henvendelse fra fra arbeidsgiver vurderer den ansatte forespørselen. Et samtykke skal være frivillig. b. Den ansatte gir beskjed til lokalt service senter (mail, telefon, o.l.). Følgende skal fremkomme i melding til lokalt service senter: hvem som skal få tilgang i hvilke tidsrom vedk. skal gis tilgang c. På bakgrunn av beskjed fra den ansatte gir lokalt service tilgang. Tilgangen skal loggføres og følges opp. 26.03.2010 Børje Furunes 201
Eksempel fra Norsk Hydro Program Management Support Praksis når det gjelder e-post Hovedregel Arbeidsgiveren har ikke adgang til å lese e-post den ansatte mottar uten at denne har gitt sitt samtykket. Samtykke skal være frivillig Dersom den ansatte ikke gir sitt samtykke avsluttes saksbehandling 26.03.2010 Børje Furunes 202
Eksempel fra Norsk Hydro Program Management Support Den ansatte er fraværende - intet samtykke Den ansatte kan ikke nås Arbeidsgiveren har ikke adgang til å lese ansattes e-post Ved dødsfall Nærmeste overordnede og en datatillitsvalgt (evt. en kollega) gis tilgang. Private meldinger skal ikke leses. 26.03.2010 Børje Furunes 203
Anbefalninger.. Lag retningslinjer for bruk av e-post Insyn bør begrenses og baseres på samtykke Mistenker man at e-post er sendt i strid med retningslinjer, kan den slettes. Forutsetningen er at de ansatte er informert om at dette er konsekvensen Ved arbeidsforholdets slutt bør kontoen slettes. Melding kan sendes avsender om at posten kan sendes en annen Avtales mellom arbeidsgiver og tillitsvalgte hvordan eventuelle brudd skal løses 26.03.2010 Børje Furunes 204
26.03.2010 Børje Furunes 205
Ad Voldtatt for 14 år siden.. 26.03.2010 Børje Furunes 206
Hvordan kan nettet overvåkes? Det som skjer i et edb-system registreres som hendelser eller aktivitetslogger; (hvem har gjort hva til hvilket tidspunkt) Typisk være: Pålogging hvem har sendt e-post til hvem Hvilke Internettsider har vært besøkt Lastet ned store filer Forsøk på uautorisert bruk Eier av systemet kan ut fra sårbarheten bestemme hva som skal logges. Kan i utgangspunktet logge alt 26.03.2010 Børje Furunes 207
Viktige for driften & informasjonssikkerheten Benyttes til administrasjon; Ressursene i systemet benyttes optimalt Benyttes til sikkerhet; Overvåke at store filer som krever mye ressurser i systemet ikke forårsaker at systemet kollapser. Men også at det ikke skjer uautorisert bruk Brudd på sikkerheten kan medføre store tap. Både for bedriften og de som er registrert 26.03.2010 Børje Furunes 208
Har arbeidsgiver lov til å overvåke? Må ha et grunnlag ( 8) Lovens utgangspunkt samtykke eller lovhjemmel Ivareta en berettiget interesse, som ikke overstiger hensynet til personens personvern ( 8f) Bruk som nevnt ivaretar en berettiget interesse, som er større enn hensynet til den enkeltes personvern Saklig begrunnet i virksomheten ( 11 b) Utgangspunktet meldepliktig, men formål som nevnt er unntatt i (forskriftens 7-11) 26.03.2010 Børje Furunes 209
Kan de ansatte overvåkes? Sikkerhetsforskriften pålegger at systemet benyttes til pålagte oppgaver. Retningslinjer om bruk må utarbeides, disse må være kjent for de ansatte Arbeidsgiver vil ha interesse av å kontrollere om den ansatte følger retningslinjene. En slik kontroll kan føles krenkende for den ansattes integritet og privatlivets fred. Stilles strengere krav En slik bruk av loggene vil kreve samtykke og er meldepliktig 26.03.2010 Børje Furunes 210
Lese Internett-logger Datatilsynet mener datasjefer har lov å bla i logger for å planlegge kapasitetsbehov eller løse problemer. Men ser han at du ofte er inne på www.jobshop.no og sannsynligvis leter etter ny jobb, har han ikke lov å varsle ledelsen. Ledelsen har ikke adgang til å lete i Internett-logger, verken på din PC eller bedriftens servere. Det er ikke lov å sjekke om ansatte bruker Internett til private formål, uansett om nettstedet heter Playboy eller Jobshop. Dette gjelder alle selskaper i Norge, uansett eierforhold og moderselskaper i andre land. 26.03.2010 Børje Furunes 211
Meldeplikt eller konsesjonsplikt? Utgangspunktet meldeplikt Personopplysningsloven 31 Sensitive opplysninger utløser konsesjonsplikt Personopplysningsloven 33 Unntak: Forskriften Forskriften 7-16 26.03.2010 Børje Furunes 212
Meld ifra til Datatilsynet og HK.. Arbeidsgiverens behandling av personopplysninger er unntatt melde/- og konsesjonsplikt under visse forutsetninger. (Forskrift til personopplysningsloven, 7-16.) Det er derfor viktig at de ansatte selv sier ifra til Datatilsynet/HK hvis arbeidsgiveren bruker personopplysninger på en måte som føles krenkende. 26.03.2010 Børje Furunes 213
26.03.2010 Børje Furunes 214
Google logger en rekke opplysninger Google logger en rekke opplysninger i forbindelse med søk. Tidspunkt, IP-adresse, søkeord og en rekke andre opplysninger blir alt lagret i Googles arkiv. På sikt vil dette kunne utnyttes til å finne ut mye om den enkelte nettbruker. For eksempel også til å skreddersy svært spesifikke reklamekampanjer for annonsører. Datatilsynet besøkte det Norske Google kontoret nå på tirsdag og ønsker å vite hvorfor søkemotoren logger en rekke opplysninger i forbindelse med søk Google en arbeidstaker er svært normalt! 26.03.2010 Børje Furunes 215
Blåser i personvernloven Én av tre bedrifter sier at det ikke er aktuelt for dem å ha systematisk oversikt over hvilke personopplysninger som behandles av virksomheten. Det kommer frem i en spørreundersøkelse gjennomført blant 424 norske private og offentlige bedrifter. TNS Gallup har utført undersøkelsen på oppdrag fra Transportøkonomisk Institutt (TØI). 26.03.2010 Børje Furunes 216
Grunnkrav til behandlingen POL 11 Opplysningene må Kun brukes til uttrykkelig angitte formål Ikke brukes til formål som er uforenelig med det opprinnelige formålet Være tilstrekkelige og relevante Være korrekte og oppdaterte Ikke oppbevares lenger enn nødvendig Ha behandlingsgrunnlag i 8 og 9 NB! Arbeidsgiver vil nesten uten unntak behandle sensitive opplysninger (jf. 2 nr. 8) om sine ansatte 26.03.2010 Børje Furunes 217
Vilkår for å behandle personopplysninger Personopplysningslovens 8 særlig Samtykke Lovhjemmel - a. Oppfylle avtale med den registrerte (arbeidsavtalen) - f. Interesseavveining - Personopplysningslovens 9 særlig a. Samtykke b. Lovhjemmel c. f. Nødvendig for gjennomføring av arbeidsrettslige plikter eller rettigheter 26.03.2010 Børje Furunes 218
Adgangskontroll Behandlingsgrunnlag 8f) Brukes det til annet enn å ivareta interne sikkerhetsmessige forhold må det innhentes samtykke Bedriftens system for tidsregistrering kan bruke samme leser og system, men kobling krever samtykke Begrenset adgang til å benytte fingeravtrykk og lignende ( 12) Rema 1000-26.03.2010 Børje Furunes 219
Aktivitetslogger registreringer av hvem som har gjort hva til hvilket tidspunkt etc. hjemmel i POL 13 med forskrifter skal oppbevares i tre måneder (POF 2-16) skal ikke benyttes til kontroll eller overvåkning av enkeltpersoner (POF 7-11) Innsyn i logger følger samme regler som innsyn i e-post 26.03.2010 Børje Furunes 220
Helseopplysninger og rusmiddelkontroll Det kan ikke gis samtykke utover de tilfeller som positivt er hjemlet i Aml. NB! Helseopplysninger = sensitive opplysninger jf. 2 nr. 8 => man må ha behandlingsgrunnlag i 8 OG i 9 PVN vedtak : Securitas har ikke adgang til kontroll av samtlige ansatte ved skjellig grunn til mistanke om misbruk (PVN-2005-06) 26.03.2010 Børje Furunes 221
Retting & Sletting Retting - 27 Uriktige, ufullstendige og opplysninger Eget tiltak eller på begjæring Sletting - 28 Opplysninger som ikke lenger enn nødvendig Unntak : lovpålagt lagring 26.03.2010 Børje Furunes 222
Oppsummering Kontrolltiltak skal drøftes med de tillitsvalgte Samtykke bør benyttes med forsiktighet i arbeidslivet Lovhjemmel er å foretrekke Interesseavveiningen etter 8 f skal være konkret Lagringstiden avhenger av formålet Informasjon til de ansatte er grunnleggende 26.03.2010 Børje Furunes 223
Informasjonsplikt 19 og 20 Før det samles inn opplysninger fra den registrerte selv typisk fra den ansattes e-postkasse Når det er samlet inn opplysninger fra andre innhenting fra IT-ansvarlig eller fra systemet som sådan??? Uansett: Samtykke ved bruk som er uforenelig med det opprinnelige formålet jf. 11 c typisk bruk av informasjon i logger i oppsigelsessak Og: Et samtykke er bare gyldig dersom det er informert NB! Unntak i 20 og 23 26.03.2010 Børje Furunes 224
HK og Datatilsynet anbefaler Arbeidsgiver: Lag instruks for databruk Involver de ansatte og tillitsvalgte i prosessen Sørg for etterprøvbarhet ved eventuelt innsyn Opprett egen e-post adresse for tillitsvalgte osv Ansatt: Unngå privat bruk av arbeidsgivers utstyr Merk mapper og filer med privat innhold Følg arbeidsgivers instruks for bruk av utstyret 26.03.2010 Børje Furunes 225
E -post mer Det er ikke anledning til å bestemme at all e-post eller annen elektronisk kommunikasjon som mottas med virksomhetens elektroniske utstyr skal anses som virksomhetsrelatert. Videre foreslår departementet at verneombudet eller en annen representant for den ansatte skal være tilstede ved innsyn. Brudd på loven vil føre kunne straffes med bøter eller fengsel inntil ett år eller begge deler 26.03.2010 Børje Furunes 226
Hjemmelsgrunnlag Personopplysningsloven Samtykke, 8 og 9. Arbeidsrettslige plikter, 9 f.) Interesseavveining, 8, f.) Oppfyllelse av avtale, 8 a.) Formell lov Arbeidsmiljøloven Straffeloven 26.03.2010 Børje Furunes 227
8. Vilkår for å behandle personopplysninger Personopplysninger (jf. 2 nr. 1) kan bare behandles dersom den registrerte har samtykket, eller det er fastsatt i lov at det er adgang til slik behandling, eller behandlingen er nødvendig for f) at den behandlingsansvarlige eller tredjepersoner som opplysningene utleveres til kan vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen. 9. Behandling av sensitive personopplysninger Sensitive personopplysninger (jf. 2 nr. 8) kan bare behandles dersom behandlingen oppfyller et av vilkårene i 8 f) behandlingen er nødvendig for at den behandlings ansvarlige kan gjennomføre sine. 26.03.2010 Børje Furunes 228
- Krav til frivillig samtykke Personopplysningsloven stiller krav til samtykke. Den som skal registreres må få tilstrekkelig informasjon til å forstå hva samtykket gjelder og hvilke konsekvenser det kan få. Informasjonen til den registrerte skal minst omfatte: navn og adresse på den behandlingsansvarlige hva opplysningene skal brukes til om opplysningene vil bli utlevert til andre, og eventuelt hvem som er mottaker om det er frivillig å gi fra seg opplysningene informasjon som gjør den registrerte i stand til å bruke sine rettigheter etter personopplysningsloven på best mulig måte, som f.eks. om retten til å kreve innsyn, retting og sletting hvor lenge personopplysningene vil bli behandlet eller oppbevart 26.03.2010 Børje Furunes 229
Avgjørelser Klage på pålegg om opphør av fjernsynsovervåkning m.v. Sak nr 2002/05: Klage på pålegg om opphør av fjernsynsovervåkning m.v. - Raddison SAS Plaza Hotell. Fjernsynsovervåkning av bar vil lett kunne bli ansett som krenkende i forhold til gjestenes ønske om diskresjon. Det nødvendige sikkerhetsbehov skulle være ivaretatt ved at baren er betjent. Monitorering av svømmebasseng/treningsrom ble funnet akseptabelt, men ikke opptak. Klagen ble derfor ikke tatt til følge. 26.03.2010 Børje Furunes 230
Klage på Datatilsynets avslag om forlenget lagring av billedopptak Sak nr. 2002/02: Avslag på søknad om dispensasjon om forlenget lagring av billedopptak - Posten Norge BA. Opptak ved minibank plassert direkte utenfor banklokaler. Avslaget omgjort, blant annet under henvisning til at overvåkingen også representerte økt sikkerhet for brukerne av minibanken. Sak nr. 2002/01: Avslag på søknad om dispensasjon om forlenget lagring av billedopptak - A-møbler AS. Spørsmål om lagring av videoopptak ved kasse med sikte på sikring av bevis ved misbruk av kredittkort mv. Avslaget opprettholdt. 26.03.2010 Børje Furunes 231
Linker Personopplysningsloven [Lovdata] - [engelsk] Forskrift om overføring av ansvarsområder. Del av myndighet [Lovdata] Personopplysningsforskriften [Lovdata] Forskrift om post- og telegramkontroll m.v. [Lovdata] Kommunikasjonskontrollforskriften [Lovdata] Helseregisterloven[Lovdata] Lov om Schengen informasjonssystem (SIS). (Lovdata)[Lovdata] 26.03.2010 Børje Furunes 232
Flere Linker direktiv EU-direktivet om personvern (95/46/EC) - [norsk] - [dansk] - [engelsk] EU-direktivet om beskyttelse av personopplysninger innen telekommunikasjonssektoren (97/66/EC)- [dansk] EU-direktivet om beskyttelse av personopplysninger innen telekommunikasjonssektoren (97/66/EC) - [engelsk] EU-direktivet om beskyttelse av personopplysninger og elektronisk kommunikasjon (2002/58/EF) - [ dansk] - [ engelsk] 26.03.2010 Børje Furunes 233
Andre linker Retningslinjer om personopplysningsvern Schengenavtalen - [engelsk] - [norsk*] Verdenserklæringen om menneskerettighetene av 1948 artikkel 12 FN-konvensjonen om sivile og politiske rettigheter av 1966 artikkel 17 Den europeiske menneskerettskonvensjon av 1950 artikkel 8 Traktaten om europeisk union av 1992, tittel 1, artikkel F(1) og (2) EUs charter om grunnleggende rettigheter (Charter of Fundamental Rights) av 2000 artikkel 7 og 8 26.03.2010 Børje Furunes 234
Hvor kan jeg kreve generelt innsyn? Du kan kreve innsyn hos alle organisasjoner, enten de er offentlige eller private. I prinsippet kan du med andre ord spørre i en hvilken som helst bedrift, organisasjon, i statlig eller kommunal forvaltning m.v. Du kan enten henvende deg til hovedkontoret eller til noen som behandler personopplysninger i henhold til avtale med hovedkontoret, for eksempel i en datasentral. Du har neppe rett til å få informasjonen direkte fra et lokalkontor/filial e.l., men det er trolig grunnlag for å kreve at disse skal formidle kravet om innsyn videre til hovedkontoret eller til en datasentral e.l. som behandler personopplysninger for dem. Du kan ikke kreve innsyn i hvorledes enkeltpersoner behandler personopplysninger for private og personlige formål. Retten til innsyn er heller ikke aktuell når opplysningene behandles for å bli brukt innen journalistikk og annen opinionsdannende virksomhet, eller som ledd i kunstnerisk eller litterær virksomhet. http://www.saftonline.no/krev_innsyn/341/ 26.03.2010 Børje Furunes 235
Personverninteresser (og -krav) Jf aml 9-1! Interessen i forholdsmessig kontroll Interessen i selvbestemmelse Personvern: personlig integritet privatlivets fred opplysningskvalitet (pol 1) Interessen i innsyn og kunnskap Interessen i brukervennlig behandling Interessen i opplysnings- og behandlingskvalitet 26.03.2010 Børje Furunes 236
Datatilsynet Uavhengig forvaltningsorgan Etablert i 1980 Kan ikke instrueres av Kongen eller departementet Administrativt underlagt FAD Direktør Georg Apenes 33 medarbeidere - Fire avdelinger Juridisk Tilsyns- og sikkerhet Informasjon Administrasjon Håndhever personopplysningsloven, helseregisterloven og SIS-loven Saksbehandling Tilsyn/kontroll Veiledning/informasjon 26.03.2010 Børje Furunes 237
Hvorfor kommer Datatilsynet på kontroll Lovpålagt oppgave Mindre konsesjon mer etterhåndskontroll Tips om brudd på personopplysningsloven eller helseregisterloven Avisoppslag Tips fra tillitsvalgte, enkeltpersoner Strategiske valg Bransjer hvor personverntrusselen er særlig stor avdekke feil Bransjer tilsynet kjenner dårlig - kartleggingstilsyn 26.03.2010 Børje Furunes 238
Forskjellige typer kontroller Brevkontroll Masseutsendelser Datatilsynet ber om redegjørelse Stedlig kontroll Varslede Uvarslede Forenklede kontroller Kameraovervåkning 26.03.2010 Børje Furunes 239
Hjemmelsgrunnlag for kontroll Datatilsynet skal kontrollere at lover og forskrifter som gjelder for behandling av personopplysninger blir fulgt, og at feil eller mangler blir rettet ( 42, tredje ledd, 3) Datatilsynet kan kreve Opplysninger Adgang til steder hvor det finnes personregistre, overvåkningsutstyr, Å få gjennomføre nødvendige prøver og kontroller Bistand fra personalet ( 44) Datatilsynet har taushetsplikt ( 45) 26.03.2010 Børje Furunes 240
Gjennomføringen av stedlig kontroll - 1 Forhåndsvarsel jf. fvl. 16 muntlig skriftlig angir hjemmel og formål Fremgangsmåte ved granskning jf. fvl. 15 Legitimering Angi hjemmel og formål Rett til vitne Protokoll Klageadgang 26.03.2010 Børje Furunes 241
Gjennomføringen av stedlig kontroll - 2 Gjennomgang av de juridiske problemstillinger med ledelsen tilstede diskusjon og veiledning Verifikasjon samtaler med tilfeldige ansatte stikkprøver i registre og datamaskiner samtaler med tilfeldige kunder/brukere Avsluttende møte oppsummering av funn foreløpige konklusjoner 26.03.2010 Børje Furunes 242
Etter kontrollen Faktumgrunnlag oversendes til gjennomsyn Oppfylle retten til kontradiksjon jf. fvl. 17 Rapport og eventuelt varsel om vedtak Oppfylle kravet om forhåndsvarsel i fvl. 16 Eventuelt pålegg Lukking av avvik saken avsluttes Pålegg kan påklages til personvernnemnda 26.03.2010 Børje Furunes 243
Datatilsynet kan gi pålegg om opphør av behandling av personopplysninger ( 46) stille vilkår for behandling av personopplysninger ( 46) pålegge bruk av fødselsnummer ( 12) pålegge retting og sletting av personopplysninger ( 27 og 28) I tillegg kan Datatilsynet ilegge tvangsmulkt ( 47) hvis pålegg ikke blir fulgt dagbøter løper ikke før klagefristen er ute og ikke under evt. behandling i PVN inngi anmeldelse til politiet ( 48) ikke alle brudd på personopplysningsloven er straffsanksjonert benyttes bare dersom bruddet på personopplysningsloven anses som grovt 26.03.2010 Børje Furunes 244
Oppsummering Kontroll er et virkemiddel i arbeidet med å gi enhver et bedre personvern Datatilsynets innfallsvinkel er at kontrollen skal oppleves som positiv for alle parter som er involvert Det er svært sjelden at virkemidler som tvangsmulkt og anmeldelse tas i bruk. 26.03.2010 Børje Furunes 245
Arbeidsmiljøloven kap. 9 Kontroll tiltak i virksomheten Uten særskilte regler for e-post. Arbeidsgiver kan bare iverksette tiltak ovenfor arbeidstaker når tiltaket har en saklig grunn i virksomhetens forhold og at det ikke innebærer en uforholdsmessig belastning for arbeidstakeren Pol gjelder hvis ikke hjemlet i annen lov 26.03.2010 Børje Furunes 246
26.03.2010 Børje Furunes 247
Cookies Cookies er små filer som skrives til harddiskennår man besøker en webside Legitim bruk av cookies er registrering av informasjon for framtidig bruk feks sider som bruker handlekurver: shopping carts Mindre akseptabel bruk er reklamefirmaer som logger en brukers nettsurfing og legger reklame på websider brukeren kommer til å besøke 26.03.2010 Børje Furunes 248
Eksempler på Cookies 26.03.2010 Børje Furunes 249
Global Unique Identifiers (GUIDs) GUID er en unik identifikator som genereres av hardware eller et program Brukes til å sende infromasjon tilbake til seiden som opprettet GUID en 26.03.2010 Børje Furunes 250