Hvem eier ansattes personopplysninger?

Bilde: Teknologirett

Før den nye personvernforordningen fra EU trer i kraft i 2018 må partene i arbeidslivet ta stilling til viktige prinsipielle personvernspørsmål med store konsekvenser for ansatte og bedrifter.

Norske virksomheter opplever økte sikkerhetstrusler knyttet til forretningskritisk informasjon. Tall fra Næringslivets sikkerhetsråd for 2015 viser at 28 prosent av norske virksomheter har avdekket en eller flere utro tjenere blant sine ansatte. En ny undersøkelse EVRY og sikkerhetsnettverket HackCon har gjennomført viser at utro tjenere er en av de største sikkerhetstruslene man står overfor i årene fremover. Vi kan ikke lukke øynene for dette faktum. Samtidig ønsker ingen bedrifter en fryktkultur.

Lovens forutsetninger om at ansatte eier egne personopplysninger, stemmer dårlig med hva som er realitetene i dagens virksomheter. Det meste av kommunikasjonen ansatte foretar på virksomhetens epostkonto relaterer seg til virksomheten. Skillet mellom hva som er personlig og hva som er virksomhetsrelatert epost er kunstig. Når den nye personvernforordningen fra EU trer i kraft vil den såkalte epostforskriften ikke lenger kunne opprettholdes. Det er viktig at vi nå får en åpen og nyansert dialog mellom partene i arbeidslivet. De nye reglene må bli tillitsvekkende og uten store kostnader for bedriftene.

Datatilsynet kan både ilegge gebyr for strenge kontrolltiltak mot ansatte og for manglende kontrolltiltak dersom disse gir uforsvarlig sikkerhet av personopplysninger om kunder, pasienter eller andre. Gebyrene betyr store økonomiske konsekvenser – inntil 4% av årlig global omsetning.

Ansatte med illojale hensikter må ikke få lov til å ta personvernet som gissel for sine ulovlige aktiviteter. Ansattes tillit er ikke uforenelig med sikkerhetstiltak som forhindrer misbruk. Det bør reflekteres tydeligere i regelverket at ansatte må forvente kontroll og innsyn. For å ivareta taushetsplikt, konkurranserettslige krav, unngå korrupsjon, overholde eksportrestriksjoner og unngå andre straffbare handlinger er moderne sikringstiltak nødvendig.

For å ha et godt personvern er det viktig med åpenhet og forståelse for hva informasjonen brukes til. Personvernet er tjent med klare skiller mellom arbeid og privatliv. Ny teknologi vil kunne beskytte virksomhetenes interesser på nye og mer personvernvennlige måter.

Grensen for når man er på jobb og når man har fri hviskes ut, og dette forsterker behovet for et klart skille. Mobilen har man med seg overalt, og den er ofte betalt av arbeidsgiver. Innholdet kan være en blanding av sensitiv bedriftsinformasjon og private personopplysninger. Med en slik hverdag blir det enda viktigere å ha klart skille mellom personlig og virksomhetsrelatert informasjon. Det er forskjell på gmail eller hotmail og ansattes jobbmail. Den ansatte må også forstå forskjellen på Facebook at Work og Facebook.

Virksomhetens IT-systemer skal tjene virksomhetens behov for kommunikasjon og informasjon. Dette må vektlegges mer enn den enkelte ansattes ønske om å skjule informasjon. Behovet for informasjon trenger ikke gå på bekostning av personvernet. Privat adferd med behov for å beskytte informasjon kan utføres med private tekniske hjelpemidler. Personvernet på virksomhetens systemer vil kunne ivaretas gjennom åpenhet og nødvendige prosedyrer.

Uklare grenser svekker personvernet, bedriftenes mulighet til å beskytte sin informasjon, og det gir enkeltindivider en mer uforutsigbar posisjon.

Forfatteren er konsernadvokat i EVRY. Artikkelen er tidligere publisert i Dagens Næringsliv.

Bli den første til å kommentere på "Hvem eier ansattes personopplysninger?"

Legg inn en kommentar

Ikke gå glipp av noe!

Motta nyhetsbrev fra Teknologirett: