Personvern på arbeidsplassen

Personvern på arbeidsplassen handler om hvordan arbeidsgiver samler inn, bruker og lagrer informasjon om ansatte – og hvor grensene går for hva som er lovlig. Både arbeidsmiljøloven og personopplysningsloven (GDPR) stiller krav til hvordan slike opplysninger håndteres.

Reglene gjelder alle virksomheter som behandler personopplysninger om ansatte – uavhengig av størrelse eller bransje.

Personvern gjelder blant annet for:

• Personalmapper og lønnsdata
• E-post og digitale logger
• Bilder på intranett og sosiale medier
• GPS-sporing, adgangskontroll og kamera

Les også om overvåkning av ansatte

Å “behandle” personopplysninger betyr enhver form for håndtering – fra innsamling og lagring, til bruk og sletting.

I arbeidsforhold skjer dette typisk når arbeidsgiver:

• Lagre opplysninger i personalmapper
• Bruker e-postsystemer, logger eller adgangskort
• Publiserer bilder på intranett eller nettsider

All behandling må ha et lovlig formål, være nødvendig, og stå i forhold til virksomhetens behov.

Som hovedregel må arbeidsgiver ha samtykke fra arbeidstaker før personopplysninger brukes til formål utenfor arbeidsavtalen.

Eksempler:

• Portrettbilder krever alltid samtykke
• Situasjonsbilder (som teambilder eller arrangementer) kan brukes uten, men skal slettes på forespørsel
• Bruk av bilder på intranett og sosiale medier krever tydelig samtykke

Også bruk av jobbtelefon og apper med sporing kan utløse samtykkekrav dersom formålet ikke er rent arbeidsrelatert.

Hovedregelen er klar: arbeidsgiver har ikke rett til innsyn i privat e-post eller personlige filer.
Det finnes likevel unntak, regulert i arbeidsmiljøloven § 9-5. Innsyn kan skje dersom:

• Det er nødvendig for virksomhetens drift, f.eks. ved fravær
• Det foreligger begrunnet mistanke om pliktbrudd, f.eks. trakassering eller ulovlig deling

Prosedyrekrav ved innsyn:

• Den ansatte skal varsles i forkant
• Arbeidsgiver skal dokumentere formål og nødvendighet
• Innsyn skal være begrenset og proporsjonalt

Les også om overvåkning av ansatte

Mange virksomheter benytter GPS, kamera eller aktivitetslogging som del av driften. Dette omfattes av reglene om kontroll i arbeidslivet, jf. arbeidsmiljøloven § 9-1.

Slike tiltak må ha:

• Saklig grunn i virksomhetens forhold
• Et legitimt og nødvendig formål
• Forhåndsdrøfting med tillitsvalgte

Personalmapper kan inneholde alt fra lønn og fravær til advarsler og vurderinger.

Disse opplysningene skal:

• Lagres sikkert, med begrenset tilgang
• Sletts når de ikke lenger er nødvendige
• Kun brukes til formål knyttet til arbeidsforholdet

Ansatte har rett til innsyn, retting og sletting av opplysninger etter GDPR artikkel 15–17.

Et godt personvernregime beskytter både arbeidsgiver og ansatte.

Som arbeidsgiver bør du:

• Etablere klare rutiner for behandling av personopplysninger
• Begrense hvem som har tilgang til sensitive data
• Utarbeide skriftlige retningslinjer for e-post, logger og bilder
• Gjennomføre risikovurderinger ved nye kontrolltiltak
• Sørge for intern opplæring i GDPR og arbeidsmiljøloven kapittel 9

For arbeidsgivere

• Juridisk vurdering av tiltak i lys av personvernregelverket
• Bistand ved e-postinnsyn, kamera og overvåkning
• Utforming av personvernpolicy og avtaler
• Bistand ved kontroll fra Datatilsynet

For arbeidstakere

• Rådgivning ved ulovlig overvåkning eller innsyn
• Vurdering av personvernbrudd og klager til Datatilsynet
• Juridisk bistand ved konflikter om bilder, logger eller mapper