Høringsuttalelse om utkast til ny personopplysningslov - EUs personvernforordning
Samfunnsviterne har i september 2017 levert høringsinnspill til Akademikerne om Justis- og beredskapsdepartementets høring om forslag til ny personopplysningslov, som gjennomfører EUs personvernforordning i norsk rett.
Publisert: | Sist endret:
Nødvendig regelverksutvikling
Samfunnsviterne viser til Justis- og beredskapsdepartementets høring om forslag til ny personopplysningslov, som gjennomfører EUs personvernforordning i norsk rett.
De siste tiårs samfunns- og teknologiutvikling innebærer at personrelaterte opplysninger samles inn, registreres, brukes og videreformidles i stor skala. Dette skjer gjerne uten at den enkelte borger er klar over i hvilke sammenhenger personlige «spor» etterlates, og uten at databehandlingen fremstår som tilstrekkelig betryggende i forhold til vern av individets frihet og integritet.
Nye regler som svarer på samfunnsutviklingen er nødvendig for å sikre individets selvråderett over egne personopplysninger på en god måte. Samtidig kan oppdaterte regler bidra til at også hensynene til samfunnsmessige hensyn og næringsutvikling ivaretas på en balansert måte opp mot individets selvråderett.
EUs nye personvernforordning og ny personopplysningslov er slik vi ser det, nødvendige og kjærkomne grep sett både samfunnets, registrererens og den registrertes perspektiv. Samfunnsviterne støtter hovedgrepene i forordningen om strengere krav til den enkelte virksomhet som behandler personopplysninger, sterkere rettigheter til de registrerte og bedre ivaretakelse av de internasjonale aspekter ved behandling av personopplysninger. Vi ser på denne bakgrunn frem til forordningens innføring i norsk rett, og ser oppmerksomheten denne har skapt som positiv.
Vi oppfatter at EUs personvernforordning, og den nye personopplysningsloven, i stor grad bygger videre på allerede innarbeidede personvernprinsipper i unionsretten og norsk personvernrett. Vi anser videre at de nye reglene samlet sett balanserer hensynene til virksomhetene og de registrerte behov på en god måte. Likeså har vi tro på at fokuset som settes på enkelte av tiltakene, som oppnevning av personvernombud og oppfordring til bransjesamarbeid, potensielt kan gi betydelige bidrag til styrking av personvern og datasikkerhet.
Innføringsmetode og brukervennlighet
I norsk personvernrett er personopplysningsloven sentral, idet loven angir de alminnelige regler for behandling av personopplysninger. Ytterligere personvernregler er nedfelt i lovens forskrifter, og i særlovgivning.
Vi oppfatter nåværende personopplysningslov som oversiktlig, med et forståelig språk og relativt pedagogisk fremstilling av personvernreglene. Nåværende personopplysningslov inneholder blant annet definisjoner av sentrale begreper, skisserer grunnkravene for behandling av personopplysninger, regulerer virksomhetenes informasjonsplikt og ikke minst den registrertes rettigheter knyttet til blant annet innsyn, retting, sletting mv.
Samfunnsviterne noterer at personvernforordningen planlegges innført i norsk rett via korporasjon, konkret ved at det inntas en henvisning til forordningens tekst (oversatt til norsk) i ny personopplysningslov. Selve forordningsteksten planlegges ikke inntatt i ny personopplysningslov. Innføringsmetoden vil innebære at personopplysningsloven ikke lenger vil skissere hovedreglene og definisjonene på personvernfeltet, men gi presiseringer, suppleringer og unntak fra reglene i EU-forordningen. Videre vil forordningstekstens struktur skille seg betydelig fra tradisjonell norsk lovgivningsteknikk.
Selv om innføringsmetoden skulle være nødvendig eller hensiktsmessig i lys av forordningsformen, mener Samfunnsviterne at metoden svekker den nye lovens brukervennlighet. Sett i lys av at et sentralt formål ved forordningen nettopp er å fremme den registrertes personvern, er dette et paradoks og en rettssikkerhetsutfordring. Vi ber på denne bakgrunn om at departementet foretar en ny vurdering av innføringsmetoden. En konkret oppfordring er å vurdere å benytte en lignende innføringsmetode som etter det opplyste planlegges i dansk rett, der deler av forordningsteksten gjengis i ny nasjonal personvernlov.
Dersom den planlagte innføringsmetoden ikke endres, må man etter vår oppfatning søke å bøte på at mange brukere av loven i sterke grad enn før må lene seg på annenhåndskilder i forståelsen av generelle personvernregler.
Slik Samfunnsviterne ser det, er det avgjørende at alle brukere av loven – både den enkelte borger og virksomhetene - har tilgang til god informasjon og veiledning om personvernreglene. Datatilsynet er i dag en sentral aktør på personvernfeltet, og må ha en viktig informasjons- og veiledningsrolle også i fremtiden. Dette fordrer tilgang på tilstrekkelige ressurser og kompetanse. Samtidig kan det problematiseres at ulike roller kan være krevende å forene; Datatilsynet skal samtidig med sin informasjons- og veiledningsrolle fylle tilsynsrollen og vil få adgang til å sanksjonere brudd på personvernreglene. Denne type kompleksitet gjelder også øvrige organer som Arbeidstilsynet, og er mulig å håndtere. Like fullt må rolleutfordringen håndteres for å oppnå reell styrking av personvern og datasikkerhet.
Fagforeningsbransjen behov og perspektiv
Alle virksomheter får nye og strengere plikter når de nye personvernreglene trer i kraft, og må tilpasse seg endrede krav. Samfunnsviterne etablerte et internkontrollsystem på personvernfeltet i 2010, og har høstet erfaringer med en systematisk tilnærming og praktisk arbeid for å ivareta våre medlemmers personopplysninger på en god måte. Det er like fullt nødvendig med tilpasninger til de nye reglene som kommer, og vi anser oss godt i gang med dette.
Alle fagforeninger, små og store, må tilpasse egen drift og utvikling til de nye personvernreglene. Det er rom for å effektivisere og kvalitetssikre arbeidet ved å samarbeide fagforeninger imellom. Samfunnsviterne ser betydelig nytteverdi i å etablere et uformelt samarbeid mellom Akademikernes medlemsorganisasjoner, i første omgang for å understøtte arbeidet med tilpasninger til nye reglene.
Etter vårt syn vil det være naturlig å merke seg oppfordringen om bransjesamarbeid og bransjenormer, og vurdere hvilke muligheter og utfordringer som kan ligge i et slikt samarbeid. Fagforeninger både på arbeidstaker- og arbeidsgiversiden må forholde seg til at fagforeningsmedlemskap videreføres som en sensitiv personopplysning. Selv om fagforeningsmedlemskap i i de fleste bransjer i norsk arbeidsliv forhåpentligvis ikke er forbundet med store stigma og risiko for sanksjoner, legger dette føringer på hvordan medlemsinformasjon skal behandles. Ikke minst har bransjen behov for at IKT verktøy som medlemsregister, saksbehandlingssystem for individuelle saker og integrerte nettsider mv, oppfyller kravene som stilles til personvern og datasikkerhet. Det må også jobbes aktivt med å oppfylle nye krav til informasjon, håndtering av individuelt samtykke og avklaring av hvordan innsynsretten i lønnsopplysninger skal forstås og håndteres.
Til konkete forslag som departementet ber om tilbakemeldinger på
Nedenfor følger våre kommentarer til en del av de forslag som Justis- og beredskapsdepartementet ber om høringsinstansenes tilbakemeldinger på. For sammenhengens skyld gis en kort innledning på hvert punkt om forhold høringen retter seg mot. Samfunnsviternes innspill angis i kursiv.
Høringsnotatet kapittel 6 – formålsbegrensningens rekkevidde
På side 23-24 i høringsnotatet redegjør departementet for spørsmål som har vært reist rundt forståelsen av någjeldende POL; om reglene vedrørende formålsbegrensning sperrer for utlevering av opplysninger mellom forvaltningsorganer med sikte på håndheving av lovgivning om arbeidsmiljø, skatter mv.
Departementet viser til at det i nåværende nasjonale rett finnes en rekke regler om spesiallovgivningen som åpner for videre bruk av personopplysninger som ikke er forenlige med innsamlingsformålet, f.eks. regler om deling av informasjon mellom forvaltningsorganer til kontrollformål. Departementet ber om høringsinstansene syn på om det er behov for en bestemmelse som understreker at formålsbegrensningen ikke er til hinder for at offentlige myndigheter som har til oppgave å håndheve lovgivningen om arbeidsmiljø, trygd, skatter og avgifter, utveksler informasjon så langt det er nødvendig for å utføre tilsynsoppgavene, jf. § 12 i lovutkastet.
Samfunnsviterne legger til grunn at personopplysningslovens virkeområde og forhold til annen lovgivning må være så tydelig og forutsigelig som mulig. Vi anser lovutkastet § 12 som en hensiktsmessig tydeliggjøring begrunnet i samfunnsmessige behov, og støtter innføring av bestemmelsen.
Høringsnotatets kapittel 7 – krav om supplerende behandlingsgrunnlag
Etter forordningens artikkel 6 nr. 1 bokstav c og e er det tillatt å behandle personopplysninger der behandlingen er nødvendig for å oppfylle en rettslig forpliktelse, nødvendig for å utføre en oppgave i allmenhetens interesse, eller nødvendig for å utøve offentlig myndighet. Departementet viser til at forordningen på dette punkt viderefører behandlingsgrunnlagene i POL § 8 bokstav b, d og e, som igjen bygger på tilsvarende behandlingsgrunnlag i 1995-direktivet.
I høringsnotatet pekes det på at slik forordningens artikkel 6 nr. 2 og 3 er formulert, oppstår det enkelte tolkningsspørsmål i relasjon til behandlingsgrunnlagene i artikkel 6 nr. 1 bokstav c og e. Det første spørsmålet er om de nevnte to behandlingsgrunnlag utgjør selvstendige behandlingsgrunnlag, eller om de må suppleres med et ytterligere rettsgrunnlag for å utgjøre et behandlingsgrunnlag. Departementet legger på bakgrunn av ordlyden i artikkel 6 nr 2 og 3, til grunn den sistnevnte forståelse, og at det supplerende rettsgrunnlaget må følge av nasjonal rett eller EU-retten. Dette betyr i så fall en skjerpelse av de regler som i dag gjelder for behandlingsgrunnlag, i POL § 8 bokstav b, de og e som ikke oppstiller slikt krav.
Departementet anser på side 26 i høringsnotatet at ovennevnte tolkning i sin tur reiser to hovedspørsmål. Det første spørsmålet er hva som kan utgjøre et supplerende rettslig grunnlag etter artikkel 6 nr. 1 bokstav c og e. Det andre spørsmålet er om det stilles nærmere krav til hva det supplerende rettslige grunnlaget kan eller må inneholde. Departementet vurderer iht. det første spørsmålet, at nasjonal lov eller forskrift, samt vedtak basert på lov eller forskrift, kan utgjøre et supplerende rettslig grunnlag. Når det gjelder spørsmål nr to, oppfatter departementet ordlyden i artikkel 6 nr 3 som noe uklar. Departementet kommer etter en nærmere gjennomgang til at forordningen ikke stiller formelle krav til innholdet av det aktuelle rettsgrunnlaget bortsett fra at det for behandling som bygger på bokstav c med rimelig grad av klarhet må kunne utledes ett eller flere formål fra rettsgrunnlaget. Det stilles ikke krav om at det supplerende rettsgrunnlaget eksplisitt regulerer behandlingen av personopplysninger.
Departementet inviterer på side 28 i høringsnotatet til innspill knyttet ti problematikken som er skissert rundt behandlingsgrunnlag, og tilbakemelding om enkelttilfeller eller grupper der POL § 8 b, de og e i dag utgjør behandlingsgrunnlag men hvor dette i medhold av forordningens artikkel 6 nr. 1 bokstav c eller e, ikke vil finnes, som følge av kravet om supplerende rettslig grunnlag.
Samfunnsviterne har pr i dag ikke innspill til ovennevnte problemstilling i form av konkrete eksempler, men trekker frem departementets utredninger som et eksempel på de komplekse problemstillinger som det nye regelverket reiser.
Vi har en generell bekymring for at forarbeidene til ny personopplysningslov er vanskeligere tilgjengelig sammenlignet med våre ordinære lovgivningsprosesser, hvor det i NOU`er og til dels også i lovproposisjoner foretas en grundig gjennomgang av lovens forståelse, samt praktiske og prinsipielle problemstillinger på området. Slik vi opplever høringsnotatet, inneholder dette meget få eksempler som kan bidra til å anskueliggjøre problemstillinger eller avveininger knyttet til tolkninger og anvendelse av reglene. Vi ser dette som en svakhet, ikke minst på de områder hvor det også i tiden fremover til knytte seg usikkerhet til tolkningene av de regler som innføres.
Høringsnotatets kapittel 8 – behandling av sensitive personopplysninger
Reglene om behandling av sensitive opplysninger følger av forordningen artikkel 9. Bestemmelsen slår i nr. 1 fast en hovedregel om at behandling av sensitive personopplysninger er forbudt. For at slik behandling skal være lovlig må vilkårene i et av unntakene i artikkel 9 nr. 2 bokstav a til j være oppfylt. I tillegg må det foreligge et behandlingsgrunnlag etter artikkel 6.
På samme måte som med artikkel 6 (omtalt ovenfor) må det tas stilling til hvilke av unntakene som eventuelt krever et ytterligere rettsgrunnlag i nasjonal rett, og om det skal stilles nærmere krav til vedkommende rettsgrunnlag.
I lys av at fagforeningsmedlemskap anses som en sensitiv personopplysning både etter någjeldende og kommende personvernregler, er det nødvendig å behandle medlemsopplysninger og medlemskommunikasjon med høy grad av varsomhet.
Samfunnsviterne legger til grunn at fagforeninger i stor grad baserer sin registrering av personopplysninger (medlemsopplysninger) med henvisning til samtykke fra den berørte. Det er derfor betryggende å se at samtykke ifølge departementets vurdering vil være et sentralt behandlingsgrunnlag også etter 28 mai 2018. Dette fordrer imidlertid at samtykke kan innhentes på individuell basis, på frivillig, spesifikt informert og utvetydig vis. Her er det rom for forbedringer hos mange arbeidstakerorganisasjoner, og for å styrke bevisstheten om de registrertes rettigheter via dialog innad i bransjen.
I deler av vår fagforeningsvirksomhet, herunder tarifforhandlinger, konfliktberedskap og streik, vil et individuelt samtykke være uegnet som behandlingsgrunnlag. I slike situasjoner oppfatter vi at artikkel 9 nr. 2 bokstav b er aktuell. Departementet viser til at arbeidsrettslige, trygderettslige og sosialrettslige rettigheter og forpliktelser krever at behandlingen er tillatt etter unionsretten, nasjonal rett eller tariffavtale som gir «nødvendige garantier for den registrertes grunnleggende rettigheter og interesser». Kravene er ikke utdypet nærmere i forordningen.
Når det gjelder spørsmålene som stilles i punkt 8.3.2, og avslutningsvis i punkt 8.3.1, legger Samfunnsviterne til grunn at fagforeningers tarifforhandlinger og kollektive opptreden vil være tilstrekkelig regulert i tariffavtale, enten direkte eller indirekte, og at denne type kollektive avtaler er et alternativ til samtykke som behandlingsgrunnlag.
Samfunnsviterne har merket seg departementets kommentarer på side 35 i høringsnotatet. Her tar departementet til orde for at det i forbindelse med nasjonale regler som åpner for behandling av sensitive personopplysninger, på en egnet måte må sikres at behandlingen finner sted med et beskyttelsesnivå som tar hensyn til opplysningenes sensitivitet. Vi oppfatter at dette understreker nødvendigheten av en risikobasert tilnærming til vårt arbeid med personvern og datasikkerhet.
Fagforeninger håndterer sensitive personopplysninger i kraft av individers medlemskap. Behandling av sensitive personopplysninger tilsier høy grad av varsomhet i håndteringen av medlemsopplysninger. På den annen side kan ikke kategoriseringen være et absolutt hinder for å ivareta medlemmenes interesser. Fagforeninger må fungere i en arbeidshverdag hvor vurderinger knyttet til effektiv kommunikasjon, «interessekamp» og deling av adekvat og relevant informasjon må foretas i høyt tempo. Fortsatt balansering av hensynene til de registrerte og hensynet til virksomheten som registrerer, er dermed viktig også fremover.
Høringsnotatets kapittel 12 – adgangen til å begrense den registrertes rettigheter
Forordningens artikkel 12-22 regulerer den registrertes rett til korrigering, sletting, begrensning av behandling, dataportabilitet, retten til å protestere og retten til å ikke være gjenstand for automatiserte individuelle avgjørelser. Artikkel 23 åpner for at medlemsstatene på nærmere vilkår kan begrense rettighetene i artiklene, enten i generell personvernlov eller særlovgivning.
Departementet ber her om høringsinstansenes syn på hvilke unntak som eventuelt bør fastsettes fra den registrertes rettigheter, og om disse bør fastsettes i personopplysningsloven eller i særlover.
Samfunnsviterne har ikke grunnlag for å være uenig i departementets vurderinger og konklusjoner knyttet til hvilke unntak som bør videreføres og ikke videreføres i ny personopplysningslov. Vi er enige i at dagens POL § 23 første ledd bokstav a, som gir en unntaksregel for interne dokumenter, ikke bør videreføres. Hva angår behovene for å gjøre unntak fra rettighetene omtalt i høringsnotatets punkt 12.3.3, så vil noen av rettighetene være nye og behovene unntak må etter vårt syn tas opp til ny vurdering på et senere tidspunkt, etter en evaluering av reglene.
Høringsnotatets punkt 13.10 – sertifiseringsordninger
Departementet har ikke uttrykkelig bedt om innspill knyttet til sertifiseringsordninger på personvernfeltet, og legger heller ikke opp til lovbestemmelser om dette ut over forordningens regler om å oppmuntre til slik sertifisering.
Etter vår oppfatning fremstår departementets holdning her som noe defensiv. Vi leser imidlertid dette snarere som skepsis til å lovregulere sertifiseringsordninger på annet vis enn det forordningen legger opp til, og ikke som manglende tro på effekten av sertifiseringsordninger som sådan. Samfunnsviterne vil under alle omstendigheter mene at det vil være positivt med økt utbredelse av sertifiseringer på personvernfeltet, på samme måte som på miljøfeltet. Dette gir rom for å tilpasse sertifiseringer og rutiner til små og mellomstore virksomheter, som erfaringsvis kan finne det mer utfordrende å etterleve personvernreglene.
Etter vår oppfatning fremstår departementets holdning her som noe defensiv. Vi leser imidlertid dette snarere som skepsis til å lovregulere sertifiseringsordninger på annet vis enn det forordningen legger opp til, og ikke som manglende tro på effekten av sertifiseringsordninger som sådan. Samfunnsviterne vil under alle omstendigheter mene at det vil være positivt med økt utbredelse av sertifiseringer på personvernfeltet, på samme måte som på miljøfeltet. Dette gir rom for å tilpasse sertifiseringer og rutiner til små og mellomstore virksomheter, som erfaringsvis kan finne det mer utfordrende å etterleve personvernreglene.
Høringsnotatets kapittel 14 om personvernrådgiver
Samfunnsviterne er enig med departementet i at det på nåværende tidspunkt ikke bør gis nasjonale regler som utvider plikten til å utnevne personvernrådgiver, ut over det som er fastsatt i forordningens artikkel 37 nr. 1. Vi støtter også betraktningene rundt behovet for å se an utviklingen av ordningen både nasjonalt og internasjonalt, før det eventuelt vurderes om personvernrådgiverens plikter bør utvides i norsk personvernlovgivning.
Personvernrådgivers taushetsplikt foreslår regulert i ny personopplysningslov. Dette synes fornuftig, men bidrar like fullt til å synliggjøre utfordringene ved det inkorporasjonsgrepet som departementet foreslå; personvernrådgiverens plikter og oppgaver – som jo er det primære ved ordningen – vil ikke fremgå av den nye personopplysningsloven, kun taushetsplikten. Dette fremstår som rart.
Høringsnotatets kapittel 29 – Forordningens regler om offentlighet og innsyn
I dette kapitlet redegjøres det for forordningens regler om offentlighet og innsyn. Departementet anser det som unødvendig å videreføre en bestemmelse om at personopplysningsloven ikke er til hinder for innsyn etter annen lovgivning. Departementet viser til at en slik presisering ikke har noen realitetsbetydning for rekkevidden av innsynsretten etter forvaltningsloven eller etter annen lov.
Samfunnsviterne er ikke uenig i at en bestemmelse om at personopplysningsloven ikke hindrer for innsyn etter annen lovgivning, er uten betydning materielt sett. Slik vi vurderer det, vil det likevel styrke lovens brukervennlighet og forutsigbarhet at dette uttrykkelig slås fast.
Høringsnotatets kapittel 30 – behandling av fødselsnummer og andre entydige identifikasjonsmidler
Departementet foreslår i høringsnotatet punkt 30.3.1 å videreføre gjeldende rett om vilkårene for behandling av fødselsnummer og andre nasjonale identifikasjonsnumre. Dette innebære at det med grunnlag i forordningens artikkel 87 fastsettes en regel om at denne type identifikasjonsmidler bare kan behandles når det foreligger saklig behov for sikker identifisering og bruken av identifikasjonsnummer er nødvendig for å oppnå slik identifisering, jf lovutkastet § 9. Samfunnsviterne er enig i departementets vurdering på dette punkt.
Departementet ber videre i punkt 30.3.1 om synspunkter på om det er behov for å videreføre personvernforskriften § 10-12 om forsendelser som inneholder fødselsnummer eller andre identifikasjonsnumre, og om det vil være hensiktsmessig å spesifisere i lovteksten hvilke krav som stilles til elektronisk kommunikasjon, for eksempel at denne skal være kryptert. Sistnevnte spesifisering finnes ikke pr i dag, og kan kanskje lede til usikkerhet hos brukerne om i hvilke tilfeller kryptering er påkrevet for å beskytte mot spredning av personopplysninger til uvedkommende.
Slik Samfunnsviterne ser det, bør svært spesialiserte regler på dette området om mulig unngås. Avveiningene om behovet for vern bør i størst mulig grad tas i medhold av generelle personvernregler. Resultatet av spesifikke regler kan lede til at noen formidlingsplattformer og forsendelsesmåter særreguleres, fremfor andre, uten at dette er tilstrekkelig begrunnet i personvernhensyn. Den teknologiske utvikling er stor og skjer hurtig. Det er svært vanskelig å spå 8-10 år frem i tid iht. hvilke tekniske løsninger som vil tas i bruk i behandlingen av personopplysninger, og hvilke løsninger som vil være mer utfordrende for personvernet enn andre.
Samfunnsviterne slutter seg til departementets vurdering i punkt 30.3.2 om at biometrisk identifisering skal være betinget av saklig behov for sikker identifisering og at metoden er nødvendig for å oppnå slik identifisering. Dette er en videreføring av gjeldende rett.
Høringsnotatets kapittel 31 – særregler ved behandling for arkivformål i allmennhetens interesse, vitenskapelig eller historisk forskning eller for statistiske formål
Någjeldende personopplysningslov og personopplysningsforskriften har visse særregler for behandling av personopplysninger for historiske, statistiske eller vitenskapelige formål. Særreglene gjelder dels de grunnleggende vilkårene for å behandle personopplysninger og dels den registrertes rettigheter. I forordningen er behandling for arkiv, forskning og statistikk i liten grad særregulert. Det finnes imidlertid noen særregler og unntak, blant annet i artikkel 89, 9 nr. 2 bokstav j, og 14 nr. 5 bokstav b. Det er også adgang til å fastsette nasjonale regler.
Samfunnsviterne finner at departementets forslag i lovutkastet § 14, som inneholder nasjonale unntak fra den registrertes rettigheter ved behandling av personopplysninger for arkivformål i allmenhetens interesse, vitenskapelige eller historiske forskningsformål eller statistiske formål, er godt begrunnet.
Høringsnotatets kapittel 34 – kameraovervåking
Personopplysningsloven og – forskriften inneholder pr i dag detaljerte bestemmelser om kameraovervåking. Forordningen har ingen tilsvarende bestemmelser, men åpner i artikkel 6 nr. 2 og 3, for å fastsette nasjonale utfyllende regler der behandlingen bygger på artikkel 6 nr. 1 bokstav c eller e. Etter departementets syn åpner artikkel 6 nr 1 bokstav c og e ikke for å fastsette nasjonale bestemmelser om kameraovervåking med et helt generelt anvendelsesområde. Av denne grunn foreslås ikke nåværende generelle kameraovervåkingsregler i personopplysningsloven og personopplysningsforskriften videreført.
På bakgrunn av at nåværende generelle regler i nasjonal lovgivning om kameraovervåking foreslås avviklet, har departementet foreslått å særskilt regulere kameraovervåking på arbeidsplasser hvor arbeidstakere ferdes jevnlig. Nåværende regler i nasjonale rett om kameraovervåking er gitt både i personopplysningsloven og -forskriften.
Samfunnsviterne støtter departementets vurderinger rundt behovet for å regulere overvåking av ansatte. De foreslåtte reglene bygger i all hovedsak på kjente prinsipper i dagens mer generelle regelverk, synes balanserte opp mot andre hensyn, og vi har ikke innsigelser til disse.
Høringsnotatets kapittel 35 – arbeidsgivers innsyn i e-postkasse mv
Personopplysningsforskriften kapittel 9 inneholder pr i dag detaljerte regler om arbeidsgivers innsyn i ansattes epostkasse mv. Forordningen av 2018 inneholder ingen tilsvarende regler. Departementet anser imidlertid at forordningen artikkel 88 åpner for at de norske reglene i hovedsak kan videreføres.
Departementet foreslår med henvisning til blant annet behovet for forutberegnelighet for arbeidsgiver og arbeidstaker, å videreføre nåværende regler om innsyn i ansattes e-postboks, dog med visse innholdsmessige endringer.
Samfunnsviterne deler departementets oppfatning om at det er behov for å særskilt regulere arbeidsgivers adgang til innsyn i ansattes e-postboks. Vi anser reglene som foreslås på dette punkt, som en videreføring av dagens regler, og slutter oss i hovedsak til disse.
Når det gjelder arbeidsgivers innsynsrett i ansattes aktivitetslogger anser vi forslaget som en ikke uvesentlig utvidelse av gjeldende forskriftsbestemmelse, uten at begrunnelsen for slikt innsyn er åpenbar eller omtalt i høringsnotatet.
Etter vår oppfatning må individets selvråderett og hensynet til personlige integritet også som utgangspunkt gjelde i arbeidstiden. Arbeidsgiver har pr i dag på visse vilkår innsynsrett i ansattes epostbruk. Det kan ikke være automatikk i at innsynsretten skal utvides ut over dette. At arbeidsgiver også skal få innsynsrett i ansattes elektroniske ferdsel / aktivitetslogg, er et ytterligere unntak som slik vi ser det krever en forsvarlig begrunnelse. Vi er åpen for at en slik begrunnelse kan finnes, men ser ikke at departementet pr har fremlagt denne. Det er etter vårt syn ikke gitt at de samme hensyn gjør seg gjeldende her – f.eks. behov for å ivareta driftsmessige oppgaver ved sykdom etc. - som ved innsyn i ansattes epost.
Med vennlig hilsen
Samfunnsviterne
Samfunnsviterne
(Sign.)
Gunn Elisabeth Myhren
Generalsekretær
Generalsekretær