Ivaretakelse av personvern for ansatte ved granskning

Bilde: U.S. Department of Agriculture

Granskninger har økt de siste årene. Både i antall og hvor omfattende den enkelte granskning har vært. Sistnevnte skyldes i stor grad at informasjonsmengden i virksomheter og mellom mennesker øker med nye digitale kommunikasjonsmåter og økt lagring kommunikasjon. Ved at det samles inn store mengder data vil det også en stor del personopplysninger bli behandlet, og da er det avgjørende at personvernet for ansatte i den virksomhet som granskes ivaretas.

Hensikten med en granskning er å fastslå hva som har skjedd og hvem som har vært involvert, samt hvem som hadde kunnskap om forholdet. Handlingene som granskes vil ofte være knyttet være kritikkverdige og/eller straffbare forhold. Videre søker man å avdekke ansvarsforhold, vurdere mulige systemfeil og eventuelt foreslå endringer i system/rutiner. For å skape et korrekt bilde, er det nødvendig at all relevant informasjon gjennomgås. Dette omfatter også informasjon som kan knyttes til enkeltpersoner, altså såkalte personopplysninger.

Siden granskninger skal ideelt sett være grundige og ideelt sett ikke skal hindres av noe i den virksomhet som granskes, vil enkeltpersoners rettigheter ofte komme i konflikt med hensynet til at granskningen må omfatte alle opplysninger i virksomheten. Enkeltpersoners rettigheter er spesielt vernet i arbeidsmiljøloven, straffeloven og personopplysningsloven, og personopplysningsloven (POL) vil sette grenser for hvordan opplysninger knyttet til enkeltpersoner behandles ved granskninger. Det er kun private granskninger som skal omtales, slik at granskninger regulert av spesiell lovgivning, som flyhavarier og annet, vil omhandles.

Nedenfor skal ivaretakelsen av personvernhensynet til ansatte gjennomgås ved å følge en granskning kronologisk. En granskning starter som regel ved at et forhold avdekkes, ofte ved at en ansatt varsler om forholdet og ledelsen i selskapet bestemmer at det skal undersøkes mer om forholdet. Først må informasjon som kan forringes sikres. Dette er i første rekke elektronisk data. For å sikre data slik at vital informasjon ikke slettes (spesielt ved overskriving av e-post, som er avgjørende informasjon ved granskninger), bør man sørge for at de siste fullstendige sikkerhetskopi (backup) og alle løpende sikkerhetskopier (såkalte inkrementelle sikkerhetskopier) fra siste fullstendige sikkerhetskopi til forholdet avdekkes sikres og ikke overskrives. Dersom det avdekkede forhold ligger tilbake i tid, kan det være aktuelt å sikre eldre sikkerhetskopier i tillegg.

Det bør så sendes et varsel til alle ansatte, om at ingen informasjon skal slettes eller overskrives. Sistnevnte ivaretar et viktig prinsipp innenfor personvern, nemlig informasjonsplikten, i tillegg til at det kan medvirke til at viktig informasjon til granskningen bevares. Pålegget om å sikre informasjon bør ta utgangpunkt i selskapets retningslinjer for behandling av e-post og elektroniske data. Har ikke selskapet slikt i retningslinjene, bør det utarbeides retningslinjer for bruk av selskapets datasystem, herunder e-post og lagringsmedier, som hensyntar tiltak ved granskning. I tillegg bør også pålegget omfatte også informasjon lagret på annen måte, som papirdokumenter.

Det er viktig at det tidlig i granskningsprosessen kartlegges hvor relevant informasjon vil kunne finnes, hvilket kan gjøres ved foreløpige intervjuer med ansatte. Denne kartleggingen danner utgangspunkt for handlinger videre, som informasjon til ansatte og varsel til Datatilsynet, se nedenfor. Senere, når informasjonen er innsamlet og gjennomgått, kan fullstendige intervjuer gjennomføres med de ansatte.

Når de umiddelbare tiltak er iverksatt, bør Datatilsynet varsles om tiltak som er iverksatt og tenkt iverksatt som vedrører behandling av personopplysninger. Selv om selskapet som granskes tidligere har meldt behandling av personopplysninger til Datatilsynet, vil en granskning som regel medføre en annen behandling enn normalt i virksomheten som må meldes på nytt. «Personopplysninger» etter POL er all informasjon som kan knyttes til en enkeltperson, og «behandle» er enhver bruk av personopplysninger. Kravet for hva som regnes som «behandling av personopplysninger» og som krever melding til Datatilsynet er derfor lavt, og som regel vil behandling av personopplysninger ved granskning kreve melding til Datatilsynet. At behandlingen av personopplysninger kan først påbegynnes 30 dager etter melding er sendt, er et annet forhold som tilsier at man må varsle Datatilsynet så raskt som mulig. Det er viktig å huske at man også må varsle Datatilsynet ved enhver endring av behandlingen av personopplysninger i løpet av granskningen.

Det kan være greit å merke seg at POL kun omfatter opplysninger som er lagret eller behandles med elektroniske hjelpemidler (mest typisk datamaskiner eller mobiltelefoner). Papirdokumenter kan innsamles og granskes uten melding, dersom disse ikke er organisert etter person (og dermed utgjør et personregister). Dersom man skanner og gjør papirdokumenter søkbare, kan disse også omfattes av POL.

For å behandle personopplysninger kreves det et grunnlag for behandling. POL stiller opp en rekke grunnlag, og som regel vil man – dersom det avdekkede forhold antas å være kritikkverdig nok – ha et grunnlag for behandling. Allikevel anbefales det at man innhenter et skriftlig samtykke fra alle personer som det skal innhentes og behandles opplysninger fra. Dette regnes som et selvstendig grunnlag etter POL, og er tilstrekkelig for behandling av personopplysninger. Et samtykke vil også bidra til at de involverte får informasjon om og blir kjent med granskningsprosessen. Merk at samtykket som gis må være fullstendig frivillig – det må være klart for den som gir samtykket at denne kan nekte å gi det – og at samtykke må dekke all behandling som man regner med granskningen skal omfatte. Den som samtykker må også ha fått all informasjon som er nødvendig for å vite konsekvensene av å gi samtykke. Dersom granskningen senere blir mer omfattende eller omfatter andre måter å behandle personopplysninger, bør nytt og dekkende samtykke innhentes.

Melding til Datatilsynet skal sendes av den som er behandlingsansvarlig, som er den som bestemmer formålet ved med behandlingen av personopplysningene og på hvilken måte dette skal skje. Siden granskninger ofte utføres av en uavhengig tredjepart, vil dette være den som er ansvarlig for meldingen. Men hvem som er reell behandlingsansvarlig er avhengig av mandatet for granskningen, og det bør foretas en konkret vurdering om hvor stor frihet granskeren har til å bestemme behandlingen av personopplysningene. Har ikke granskerne stor frihet, vil trolig selskapet som granskes være å anse som behandlingsansvarlig.

Når melding til Datatilsynet og samtykke er på plass, og det er gått 30 dager fra avsendelse av melding, kan innsamling av elektronisk lagret informasjon og gjennomgang påbegynnes. Innsamling av elektronisk informasjon, og spesielt å sikre integriteten til denne (såkalt «chain of custody»), er noe som bør overlates til profesjonelle som har omfattende erfaring med å sikre elektronisk informasjon og ivaretakelse av personopplysninger. Merk at man plikter å inngå en egen databehandleravtale ved bruk av underleverandør for innsamling og behandling av personopplysninger.

Epost er etter hvert blitt en viktig kilde til informasjon, og siden epostkontoer til ansatte anses som personlige etter norsk lovgivnging (se personopplysningsforskriften kapittel 9), kreves det ekstra varsomhet ved behandling av epost. Ved en granskning er det behov for å gjennomgå eposten til ansatte for å avdekke informasjon av relevans for granskningen, men samtidig ivareta hensynet til den ansatte som kan ha privat informasjon i sin epostkonto. Som nevnt ovenfor, bør det foreligge retningslinjer for bruk av selskapets datasystem som informerer om at arbeidsgiver kan gjennomgå bl.a. den enkeltes epost i tilfelle granskning, og hvordan slik gjennomgang skal gjennomføres. Normalt bør gjennomgangen av epost gjennomføres sammen med den ansatte, eller en representant for denne, hvor man skiller ut private eposter.

Et viktig prinsipp i POL er personers rett til informasjon om behandlingen. Generelle utsendelser av informasjon til flere involverte kan dekke dette behovet. Det bør også kunne gis informasjon om granskningen til den enkelte når samtykke innhentes hvor det informeres om rettighetene POL til bl.a. innsyn i og rett til å kreve retting av opplysninger.

Noe som kan bli oversett ved granskninger er at granskerne har de samme krav til å sørge for å sikre den innsamlede informasjon (informasjonsikkerhetskrav), som selskapet som informasjonen er samlet inn fra. Dette stiller krav til at informasjonen skal sikres på en tilfredsstillende måte, slik at ingen uvedkommende kan få tilgang til informasjonen ved å få innsyn i disse, endre informasjonen eller slette denne. De sikringstiltak som granskerne gjør skal dokumenteres, og denne dokumentasjonen skal være tilgjengelig for de ansatte, Datatilsynet og Personvernnemda.

Personopplysninger som samlet inn eller laget i forbindelse med granskningen må slettes så snart formålet med behandlingen av opplysningene har opphørt. Normalt er dette når det er besluttet å ikke gå videre med resultater av granskningen eller granskningen har vist seg å ikke avdekke kritikkverdige forhold. Det kan også være at deler av opplysningene skal slettes når granskningsrapport foreligger, mens andre må man ta vare på en lenger tid til videre tiltak er avklart. Det er også verdt å merke seg at overføring av personopplysninger over landegrenser kan kreve særskilt samtykke og spesielle tiltak. Dette kan være aktuelt ved selskaper som har virksomhet i flere land eller at man må benytte seg av leverandører i utlandet ved behandling av innsamlet data og informasjon.

Overtredelse av POL kan medføre straff og erstatning. Dersom informasjon er innsamlet i strid med POL, kan dette også medføre at informasjonen ikke kan fremlegges som bevis i rettssak. Dette kan ha betydning for erstatningskrav som fremmes. Siden behandling av personopplysninger er så kritisk ved en granskning, bør man dokumentere de aktiviteter og valg som gjøres vedrørende behandling av personopplysninger. Det bør også føres en kronologi hvor aktivitetene nedtegnes fortløpende. Dersom selskapet som granskes har et personvernombud, bør dette være involvert i arbeidet og konfereres i den grad dette ikke går ut over granskningens integritet.

Huskeliste

  • Sikre informasjon og data – bevare sikkerhetskopier og sende varsel til ansatte
  • Kartlegge hvor relevant informasjon kan være lagret
  • Melde behandling til Datatilsynet
  • Informere de ansatte
  • Samle inn informasjon: Bruk kun profesjonelle selskaper/personer som har kompetanse og erfaring med å samle inn elektronisk informasjon og data
  • Granske informasjon – informere ansatte og Datatilsynet ved endringer i behandlingen av personopplysninger, eventuelt innhente nye samtykker
  • Dokumentere beslutninger og aktiviteter og nedtegn kronologi
  • Slette informasjon etter granskningen er gjennomført
Dette er en oppdatering av en artikkel som tidligere er publisert i Lov & Data nr. 1/2009.
[EmbeddedFBTittel] [fb_pe url=»https://www.facebook.com/teknologirett/posts/1600064680291085″ bottom=»30″]

Bli den første til å kommentere på "Ivaretakelse av personvern for ansatte ved granskning"

Legg inn en kommentar

Ikke gå glipp av noe!

Motta nyhetsbrev fra Teknologirett: