Meny
Meny

Overvåking på arbeidsplassen – hva er lov, og hvor går grensen?

Overvåking på jobb krever klare regler og rettslig grunnlag. Her får du oversikt over hva arbeidsgiver kan, bør og ikke bør gjøre.

Overvåking på arbeidsplassen er blitt et aktuelt tema i mange bransjer, særlig i yrker hvor ansatte jobber ute, på farten eller med verdifullt utstyr. GPS-sporing, kameraovervåking, adgangskontroller og digitale loggverktøy gir arbeidsgivere oversikt og kontroll – men slike tiltak griper også inn i ansattes personvern.

Derfor er det strenge krav til hvordan overvåking kan gjennomføres. Kontrolltiltak må være nødvendige, forholdsmessige og grundig dokumentert. I tillegg skal ansatte informeres og involveres før tiltak settes i verk.

Hva regnes som overvåking?

Typiske former for kontrolltiltak på arbeidsplassen inkluderer:

  • Kameraovervåking av verksteder, lagre eller fellesarealer
  • GPS-sporing av firmabiler og arbeidsutstyr
  • Loggføring av adgang og bevegelse
  • Automatisk registrering av arbeidstid og pauser
  • Innsyn i e-post, nettbruk og telefonaktivitet

Alle disse tiltakene regnes som overvåking når de brukes til å innhente, lagre eller analysere informasjon om enkeltansatte. De omfattes derfor av blant annet arbeidsmiljøloven personvernforordningen og personopplysningsloven, og det stilles krav om grundige vurderinger før tiltakene kan innføres.

At arbeidsgiver har tilgang til data – som GPS-sporing eller telefonregninger – gir ikke rett til å bruke dem fritt til kontrollformål. Data kan kun brukes til det opprinnelige formålet. Før informasjonen benyttes til kontroll, må arbeidsgiver informere om formålet, vurdere nødvendigheten og følge riktig prosess.

Nytt formål krever ny vurdering og varsling. Sanksjoner basert på uvarslet bruk av data kan være ulovlige.

Relevant regelverk

Følgende regelverk er særlige sentrale ved overvåking:

  • Arbeidsmiljøloven kapittel 9 regulerer arbeidsgivers adgang til kontrolltiltak og stiller krav til saklig behov, forholdsmessighet og forhåndsdrøfting med arbeidstaker eller tillitsvalgte.
  • Personvernforordningen (GDPR)  stiller krav til behandlingsgrunnlag, informasjon, dataminimering, internkontroll og dokumentasjon dersom tiltaket innebærer behandling av personopplysninger.
  • Forskrift om kameraovervåking i virksomhet gir særskilte regler for når og hvordan kameraovervåking kan benyttes på arbeidsplassen.
  • Forskrift om arbeidsgivers innsyn i e-post og annet elektronisk lagret materiale regulerer adgangen til innsyn i ansattes digitale kommunikasjon. E-postinnsyn krever hjemmel i forskrift og kan kun skje ved klart behov eller mistanke, og under visse prosessuelle krav.

Når er overvåking lovlig?

For at kontrolltiltak skal være lovlig, må fire hovedvilkår være oppfylt:

1. Saklig behov:
Tiltaket må ha et reelt og dokumentert formål, som for eksempel sikkerhet, forebygging av tap, eller behov for dokumentasjon.

2. Forholdsmessighet:
Tiltaket må ikke gå lenger enn nødvendig. Mer inngripende tiltak krever sterkere begrunnelse. Kameraovervåking må for eksempel kun brukes der mildere tiltak ikke er tilstrekkelige. Altså behovet for overvåking må være viktigere enn ulempene overvåkingen medfører for de som blir overvåket.

3. Forhåndsinformasjon og drøfting:
Arbeidstakere – eller deres tillitsvalgte – skal informeres og tiltaket skal drøftes før det tas i bruk.

4. Behandlingsgrunnlag og dokumentasjon:
Ved behandling av personopplysninger krever GDPR at virksomheten har et lovlig behandlingsgrunnlag, som oftest “berettiget interesse”, og har gjennomført en skriftlig interesseavveiing. Det må også finnes en personvernerklæring og rutiner for databehandling.

Eksempler på ulovlig overvåking

Det finnes flere eksempler på ulovlig praksis:

  • Skjult kamera uten saklig grunnlag og informasjon
  • GPS-sporing uten formål og rutiner for sletting
  • Loggføring av toalettbesøk eller pauseadferd
  • E-postovervåking uten varsling og dokumentert hjemmel

I en kjent sak ble et renovasjonsfirma ilagt 100.000 kroner i overtredelsesgebyr for GPS-overvåking av sjåfører uten tilstrekkelig informasjon.
Kilde: Aftenposten

I en annen sak ble data fra en elektronisk kjørebok brukt til å reagere mot ansatte – uten at det var gjort en juridisk vurdering av bruken.
Kilde: ABAX

Særlig aktuelt for håndverksbransjen

I bransjer som bygg, VVS og elektro er det vanlig med tekniske løsninger for oversikt og ressursstyring. Mange bedrifter i denne sektoren benytter apper eller GPS-løsninger fra tredjepartsleverandører – da kreves det også en databehandleravtale etter GDPR. Men overvåking kan raskt bli for omfattende dersom virksomheten ikke har kontroll på:

  • Hvilke data som samles inn og hvorfor
  • Hvordan dataene behandles og hvor lenge de lagres
  • Om tiltakene er forholdsmessige og nødvendige

I én konkret sak fikk en rørleggerbedrift kritikk for GPS-sporing uten dokumentasjon på behandlingsgrunnlag og formål. Resultatet var klage til Datatilsynet og intern uro.

Se også: GPS i firmabil – hva sier loven?

Ansattes rettigheter

Arbeidstakere har rett til:

  • Å bli informert om overvåking, formål og databehandling
  • Innsyn i egne personopplysninger
  • Å protestere mot behandlingen eller kreve sletting
  • Å varsle til Datatilsynet ved tvil om lovlighet

Dette bør arbeidsgiver gjøre

Før virksomheten innfører et overvåkingstiltak, bør følgende være på plass:

  • Skriftlig redegjørelse for formål, hjemmel og hvordan tiltaket gjennomføres
  • Dokumentert interesseavveiing, der virksomhetens berettigede interesse veies opp mot personvernet og konsekvensene for den enkelte,
  • Drøfting med ansatte eller tillitsvalgte før tiltaket settes i verk
  • Personvernerklæring tilgjengelig for de ansatte
  • Rutiner for lagring og sletting, slik at data ikke oppbevares lenger enn nødvendig
  • Vurdering av behov for databehandleravtale ved bruk av eksterne systemer eller leverandører
  • Internkontroll og rutiner, slik at bare autoriserte personer har tilgang til overvåkingsdata, og at regelverket følges i praksis

Se også: Datatilsynets veileder om kontroll og overvåkning i arbeidslivet

Oppsummering

Arbeidsgiver kan ikke overvåke ansatte uten videre. Tiltak må være nødvendige, ikke mer inngripende enn nødvendig, og dokumenteres grundig. I tillegg skal de ansatte få beskjed på forhånd – og få være med i vurderingene.Bedrifter som tar seg tid til å utarbeide riktige rutiner og ivareta ansattes personvern, styrker både tilliten internt og reduserer risiko for konflikter og gebyr.

Har din virksomhet behov for veiledning om kontrolltiltak, personvern eller interne rutiner? Våre advokater hjelper deg med vurderinger, dokumentasjon og gode rutiner som både trygger deg og bygger tillit i organisasjonen.

Skrevet av

Picture of Kanwal Suleman

Kanwal Suleman

Advokat

kanwal@advokatlippestad.no
Oslo
+47 22 94 10 20
post@advokatlippestad.no
Advokatfirmaet Lippestad AS
Sehesteds gate 6
0164 Oslo
Se på kart
Halden
+47 22 94 10 20
post@advokatlippestad.no
Advokatfirmaet Lippestad AS
Storgata 2A
1767 Halden
Se på kart

Abonner på nyhetsbrev

Menneskene
Kompetanse
Aktuelt
Karriere
Om oss
Priser
Artikkelsamling
Kontakt oss