Jusstorget

- lettlest juss og juridisk hjelp

by

PERSONVERN (GDPR) PÅ ARBEIDSPLASSEN

PERSONVERN (GDPR) PÅ ARBEIDSPLASSEN


Av advokat (H) Nicolay Skarning, Kvale advokatfirma DA

1 INNLEDNING

Det å verne opplysninger knyttet til enkeltpersoner – personopplysninger – er blitt langt viktigere enn før, på grunn av den teknologiske utviklingen. Slike opplysninger kan lettere samles inn, misbrukes og spres. Personopplysninger i denne sammenheng er enhver opplysning som kan knyttes til en fysisk person, som navn, adresse, bilde, fødselsnummer mv. Personvern er noe som arbeidsgivere må ha mer fokus på enn før etter regelendringer siste årene, og vi gir et oversiktsbilde her.

Grunnloven § 102 sier etter endring i 2014 det som allerede fremgikk av Den europeiske menneskerettskonvensjon (EMK) fra 1950, artikkel 8, men i en litt mer moderne språkdrakt:

«Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon.»


Personvern er således både en del av Grunnloven og EMK, og er nå gitt en omfattende regulering gjennom inkorporasjon av EUs personvernforordning, GDPR (General Data Protection Regulation), som norsk lov trådt i kraft fra 20. juli 2018. Verdt å merke seg at disse reglene går foran andre norske lover og forskrifter, om de kommer i konflikt, jf. EØS-loven § 2.

I det følgende brukes GDPR som betegnelse på denne loven, som i det vesentlige er likt implementert i hele EU/EØS, dvs. i 28 EU-land, inkludert UK, pluss tre EFTA-land, dvs. Norge, Island og Liechtenstein. Dermed foreligger et stort marked med omkring 520 millioner mennesker, for utveksling av personopplysninger over landegrensene og etter de samme regler.

Denne artikkelen går gjennom noen punkter i GDPR-regelverket for noen praktiske spørsmål i arbeidslivet, uten å være utfyllende. Til det er GDPR-regelverket alt for omfattende. Dette innebærer samtidig at både ledelsen, de tillitsvalgte og verneombudene, bør kjenne hovedpunktene i GDPR, og ta opp GDPR-spørsmål i de regulære drøftelser som partene gjennomfører lokalt. Da avdekkes lettere personvernspørsmål for vurdering før man begynner å behandle personopplysninger. Ytterligere opplysninger finnes hos Datatilsynet, som også har en egen veileder for kontrolltiltak. Nyttige sider for bakgrunnsmateriale er således www.datatilsynet.no.

2 Hvem gjelder GDPR-reglene for?

Her er det enkle og litt upresise svaret «alle», dvs. det offentlige og virksomheter både innenfor og utenfor EU/EØS når det gjelder «behandling av personopplysninger om registrerte som befinner seg i Unionen [EØS]», jf. GDPR artikkel 3. Og enkeltpersoner i EU/EØS gis en rekke rettigheter, som vi kommer tilbake til.

I GDPR artikkel 2 holdes personers «rent personlige eller familiemessige aktiviteter» utenfor, samt noen aktiviteter fra det offentliges side.
omfang og prinsipper


3.1 Hva er en personopplysning?

Som nevnt innledningsvis er en personopplysning enhver opplysning som direkte eller indirekte kan knyttes til en fysisk person, herunder blant annet: navn, fødselsnummer, adresse, e-postadresse- og trafikk, IP-adresse og aktivitet på denne, oppstart- og sluttidsregistrering («stempling»)på arbeidsstedet, personalarkiv, innkommende søknader på stillinger, intervjureferater mv, bilde/video/Skype mv, jf. GDPR artikkel 4 nr. 1.

Fagforeningsmedlemskap er en særlig kategori opplysninger, som det i utgangspunktet er forbudt å behandle, likesom opplysninger om bl.a. religion og politisk ståsted. Her vil det etter GDPR artikkel 9 kreves et særlig grunnlag, for eksempel uttrykkelig samtykke, eller at det er tale om å oppfylle sine forpliktelser innenfor arbeidsrett, for eksempel på bakgrunn av tariffavtale. GDPR-fortalen avsnitt 155 taler generelt om «overholdelse av pliktene fastsatt ved lov eller i tariffavtaler,..», jf. også GDPR artikkel 9 nr. 2 b og artikkel 88 nr. 1.

3.2 Hva vil det si å behandle personopplysninger?

Enhver befatning med personopplysninger vil bli å anse som behandling, dvs. innsamling, registrering, organisering, strukturering, lagring, tilpasning/endring, gjenfinning, konsultering, bruk, utlevering, spredning, sammenstilling, begrensning, sletting/tilintetgjøring mv., jf. GDPR artikkel 4 nr. 2. Behandling av personopplysninger foregår ofte i et IT-system, men også manuelle arkivsystemer omfattes, jf. GDPR fortalepunkt nr. 15.

3.3 Noen grunnleggende prinsipper

GDPR har nedfelt noen grunnleggende prinsipper, som alle som behandler personopplysninger må ta hensyn til og være forberedt på å dokumentere at er fulgt, jf. GDPR artikkel 5. Disse prinsippene er i hovedsak:

  • a) personopplysningene skal behandles på en lovlig, rettferdig og åpen måte
  • b) samles inn for spesifikke, uttrykkelig angitte og berettigede formål («formålsbegrensning»)
  • c) være adekvate, relevante og begrenset til det som er nødvendig («dataminimering»)
  • d) være korrekte og om nødvendig oppdaterte («riktighet»)
  • e) ikke lagres lengre enn det som er nødvendig for formålene («lagringsbegrensning»)
  • f) sikkerhet for personopplysningene («integritet og konfidensialitet»)

Disse prinsippene må virksomheten ta med seg i sine vurderinger, og for eksempel dokumentere i internkontrollsystemet, gjennom referater, protokoller og dokumenter som etableres, bl.a. i forbindelse med informasjon og drøftelser med de tillitsvalgte, og verneombud/arbeidsmiljøutvalg. Ut fra kravet til åpenhet, vil en personvernerklæring være egnet, for eksempel på bedriftens hjemmeside, og også gjerne en erklæring beregnet på de ansatte på bedriftens intranettside. Personvernerklæringen sier noe om hvordan og hvorfor virksomheten behandler personopplysninger, kontaktinformasjon mv. Den kan også gi informasjon om hvordan virksomheten behandler søknader på stillinger som kommer inn, hvor lenge disse oppbevares osv. Eksempel på personvernerklæring finnes her.

Til (a):

Hvorfor behandles personopplysninger i virksomheten? Det må bl.a. foreligge et lovlig behandlingsgrunnlag etter GDPR artikkel 6, knyttet til formålet med behandlingen. Som vi skal se nærmere på nedenfor, vil behandlingsgrunnlagene innen et arbeidsforhold oftest være oppfyllelse av avtale (GDPR artikkel 6 b), oppfyllelse av en rettslig forpliktelse som arbeidsgiver har (GDPR artikkel 6 c), eller en berettiget interesse som arbeidsgiver har i kraft av sin styringsrett (GDPR artikkel 6 f).

Etter GDPR artikkel 13 og 14, må de ansatte få informasjon om behandlingen (informasjonskravet). Dette gjøres gjerne ved å gi informasjon i en personvernerklæring. Hvor lenge personopplysninger lagres, er informasjon som også kan gis i en slik erklæring. For øvrig må virksomheten ha en GDPR artikkel 30-protokoll – dvs. en oversikt over all behandling av personopplysninger i virksomheten.

Til (b):

Formålene med behandlingen skal angis med hvilket grunnlag i GDPR artikkel 6. Her må som nevnt behandlingsgrunnlag og formål høre sammen. Er det flere formål, må hvert formål ha sitt behandlingsgrunnlag i artikkel 6. Flere behandlingsgrunnlag kan tenkes, og da får disse angis. Er det tale om nye formål, må nytt grunnlag angis. I 2013 (Rt 2013 s. 143) aksepterte ikke Høyesterett at informasjon fra GPS-styring i avfallsselskap ble benyttet mot en arbeidstaker i en oppsigelsessak. Det sentrale i denne saken var at informasjonen ble brukt til andre formål enn det opplysningene var samlet inn for, og man hadde ikke et lovlig behandlingsgrunnlag. Avgjørelsen ble avsagt før GDPR trådte i kraft 20. juli 2018, men gir veiledning også i dag.

Til (c):

Opplysningene skal være relevante i forhold til formålet med behandlingen, ha betydning for å oppnå dette formålet, og det skal ikke behandles flere personopplysninger enn det som er nødvendig. Derfor må man spørre: kan vi vi oppnå det samme med mindre lagring av personopplysninger? Hvis svaret er ja, så bør man begrense bruken av data, jf. dataminimeringsprinsippet.

Til (d):

Det stilles krav til at opplysningene er korrekte. Her vil den registrerte og virksomheten ha felles interesse. Med åpenhet og innsyn, vil man samtidig lettere kunne få oppdatert den informasjonen som er lagret, og eventuelt få rettet opp i feil. Dette kan ha betydning i mange saker, og være en fordel for begge parter. I 2009 satte Arbeidsretten (ARD-2009-48) til side en permittering i et vaktselskap, fordi selskapet bygget på uriktig informasjon da den valgte en person til permittering foran en annen. Arbeidsretten uttalte:

«Etter det Arbeidsretten forstår la bedriften til grunn at A, i motsetning til B, hadde en samboer som bidro til å dekke husstandens utgifter. Hvor disse opplysningene stammet fra er noe uklart. Det er videre uklart om bedriften på avgjørelsestidspunktet overhodet kjente til at også B hadde en samboer. Noen undersøkelser av i hvilken utstrekning de respektive samboere bidro til dekning av husstandenes utgifter ble ikke foretatt. Bevisførselen etterlater et klart inntrykk av at bedriften ikke hadde et tilstrekkelig grunnlag for å kunne foreta en forsvarlig avveining av de relevante hensyn…»

Til (e):

Her må det alltid foretas en konkret vurdering sett i lys av formålene med behandlingen av dataene. Ved søknadsprosesser vil lagring av opplysningene rundt dette, som CV, referanser osv. regulært måtte slettes etterpå, dersom søkeren ikke gir samtykke til lengre lagring. Det kan f.eks. tenkes at arbeidsgiver ønsker å vurdere kandidaten igjen senere, og derfor ønsker å beholde opplysningene. Da bør samtykke til dette innhentes. Likevel skal sies at det kan oppstå klagesaker etter en ansettelse, for eksempel. ved påstand om diskriminering, som kan gi arbeidsgiver berettiget interesse i å beholde opplysninger på søkerne i noe tid, også uten samtykke. Dette for eksempel for å svare på klage til Likestillings- og diskrimineringsombudet.

Under arbeidsforholdet vil arbeidsgiver regulært ha lovlig grunnlag for å beholde all informasjon om arbeidsforholdet, som arbeidsgiver mottar i anledning dette, herunder om permisjoner, sykefravær, behov for tilrettelegginger mv, og eventuelle advarsler/tilrettevisninger. Dette er en del av personaladministrasjonen som har grunnlag i GDPR artiklene 6 nr.1 bokstavene b), c) og f), jf. også artikkel 9 nr. 2 b i forbindelse med sykefraværsoppfølging og helseopplysninger mv.

Etter at arbeidsforholdet er avsluttet kan det også være behov for å beholde informasjonen i personalmappen på arbeidstaker en stund, etter de samme grunnlag som nevnt ovenfor. Noe økonomisk informasjon er bedriften forpliktet til å beholde i fem år etter regnskapsårets slutt, jf. bl.a. bokføringsloven § 13 med bokføringsforskriften. Også forholdet til skattelovgivningen kan kreve at økonomiske opplysninger beholdes i en tid etter arbeidsforholdets avslutning.

Videre kan arbeidstaker ønske å fremme yrkesskadeerstatning eller annet erstatningskrav mot arbeidsgiver. Normal foreldelsesfrist for slike krav vil være tre år etter at arbeidstaker sluttet i bedriften, jf. foreldelsesloven § 2. Merk likevel § 9, som sier:

«Krav på skadeserstatning eller oppreising foreldes 3 år etter den dag da skadelidte fikk eller burde skaffet seg nødvendig kunnskap om skaden og den ansvarlige.»

Dette kan bli lenger enn tre år etter avslutningen av arbeidsforholdet. I så fall vil den ansatte også kunne ha ønske om å innhente opplysninger om seg selv hos bedriften. Dette trekker i retning av at sentrale opplysninger om den ansatte kanskje bør beholdes i fem år etter regnskapsårets avslutning, i samsvar med bokføringsloven med forskrift. Bedriften må imidlertid gjøre en konkret vurdering av disse forhold. HR Norge har utgitt en nyttig veileder fra 2018, som angir oppbevaringstid for personopplysninger etter GDPR på mer detaljert nivå.

Til (f):

Når det gjelder sikkerhet for personopplysningene, skal virksomheten ha et bevisst og systematisk forhold til dette gjennom internkontroll, til passord, taushetspliktsregler og begrensning på hvem som skal ha tilgang til personalmappen mv. Ved skybaserte og andre IKT-systemer må det også passes på at ikke personopplysninger sendes ut av EU/EØS-området til land med dårligere personvern. Samtidig sikrer GDPR-reglene at EU/EØS-området kan anses trygt, likevel slik at dens regler innpasses i databehandleravtaler mv.

4 Grunnlaget for å behandle personopplysningene

Det må foreligge et lovlig grunnlag, såkalt behandlingsgrunnlag, som må stå i forhold til behandlingen av personopplysningene før man kan samle inn og behandle personopplysninger. Vanligvis benyttes ett grunnlag til hvert formål, slik at dette blir oversiktlig, men flere grunnlag kan tenkes, i og med at de glir noe over i hverandre. Vi nevner alle behandlingsgrunnlag her, selv om de mest aktuelle grunnlag innen arbeidsrett er oppfyllelse av avtale (bokstav b), oppfyllelse av rettslig forpliktelse (bokstav c) og sekkebestemmelsen berettiget interesse (bokstav f). Behandlingsgrunnlagene er likestilte, og det er ikke slik at samtykke er «bedre» enn andre behandlingsgrunnlag. Samtykke er lite praktisk på arbeidsrettens område, som vi skal se nedenfor.

Behandlingsgrunnlagene er nevnt slik i GDPR artikkel 6, nr. 1 bokstavene (a) til (f):

4.1 Samtykke (bokstav a)

Det første grunnlaget som er nevnt i GDPR artikkel 6 nr. 1 bokstav a) er samtykke for ett eller flere formål. Dette grunnlaget anses som nevnt ikke som veldig anvendelig i arbeidsforhold, pga. skjevhet i styrkeforholdet mellom partene. Likevel antar Datatilsynet at samtykke kan være aktuelt når det skal legges ut bilder av arbeidstaker internt og eksternt, se nærmere her. Hovedregelen vil uansett være samtykke i forhold til hvert enkelt formål, i alle fall der disse er av forskjellig art. Slikt samtykke kan innhentes i for eksempel arbeidsavtale, pr. e-post eller på automatisert måte. Muntlig samtykke er også mulig, men lite praktisk av bevismessige grunner.

Ved søknad på stillinger kan søkeren typisk gi samtykke til at arbeidsgiver behandler og eventuelt beholder personopplysninger for en viss tid, selv om antagelig GDPR artikkel 6 nr. 1 bokstav f) om berettiget interesse er et mer nærliggende behandlingsgrunnlag.

Vilkårene knyttet til samtykke fremgår av GDPR artikkel 7, hvor det også fremgår at samtykke alltid kan trekkes tilbake.

4.2 Avtale (bokstav b)

Neste behandlingsgrunnlag er oppfyllelse av avtale, som er et anvendelig behandlingsgrunnlag i arbeidsforhold. Arbeidsgiver må bl.a. ha bakgrunnsinformasjon, pårørende, adresse, kontonummer, tilstedeværelse på arbeid, overtid mv for å oppfylle arbeidsavtalen. Videre vil opplysninger om sykefravær også være blant de personopplysninger arbeidsgiver må behandle i kraft av arbeidsavtalen, og for å følge opp plikter etter både arbeidsmiljøloven og folketrygdloven, se derfor neste punkt om rettslige forpliktelser. Derfor trengs ikke særlig samtykke fra arbeidstaker til dette. Det å spørre etter samtykke fra arbeidstaker, vil lett virke mer forvirrende enn forklarende: arbeidstaker kan ikke trekke samtykket tilbake med noen effekt, fordi arbeidsgiver uansett må samle, behandle og oppbevare opplysninger om arbeidsforholdet for å oppfylle både arbeidsavtalen og lovens forpliktelser til en arbeidsgiver.

Trekk i lønn for kontingent til fagforening, trenger egen hjemmel, enten i tariffavtale eller i uttrykkelig samtykke, da registrering av fagforeningsmedlemskap er en egen kategori for opplysninger, tidligere kalt sensitiv personopplysning, se nærmere GDPR artikkel 9. For eksempel har Hovedavtalen LO-NHO et kapittel 11 som omhandler trekk av fagforeningskontingent. Wendleby mfl. skriver på s. 67 om bl.a. tariffavtale («kollektivavtal»):

«Skyldigheten at inom arbetsrätten lämna ut känsliga personuppgifter ska framgå av lagstiftning, myndighetsbeslut, kollektivavtal eller av ett muntligt eller skriftligt avtal.»

Dersom arbeidstaker imidlertid ikke ønsker å stå oppført med fagforeningsmedlemskap i arbeidsgivers register, må antas at han eller hun vil kunne reservere seg mot dette, og heller betale fagforeningskontingenten direkte selv, jf. prinsippet om dataminimering, sml. GDPR artikkel 5 c).

4.3 Oppfyllelse av rettslige forpliktelser (bokstav c)

I artikkel 6 nr. 1 bokstav c) omtales oppfyllelse av en rettslig forpliktelse. Her kan man også tenke seg en fremtidig rettslig forpliktelse, som kan oppstå på et senere tidspunkt. Skullerud mfl. skriver:

«Det er grunn til å anta at alle rettsregler som pålegger plikter som kan håndheves ved norske domstoler, vil være å anse som en rettslig forpliktelse som omfattes av bokstav c.»

Dersom arbeidsgiver har forpliktelser etter arbeidsmiljøloven, folketrygdloven, allmenngjøringsloven eller andre lover, kan arbeidsgiver behandle personopplysningene med hjemmel i disse lovpålegg, uten å måtte innhente samtykke fra arbeidstaker. Som tidligere nevnt, gjelder dette også sykefraværsoppfølging, som er pålagt i arbeidsmiljøloven § 4-6 mv, og som medfører at arbeidsgiver kan motta og behandle helseopplysninger mv. Arbeidsgiver skal naturligvis sikre at tilgangen til disse opplysningene er begrenset, og at opplysningene er tatt godt vare på.

Personopplysningsloven § 6 utfyller følgende om de tidligere nevnte sensitive personopplysninger:

«Personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 kan behandles når det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter.»

Rettslig forpliktelse innebærer også en plikt for arbeidsgiver til å oppbevare personopplysninger etter arbeidsforholdets slutt, for eksempel med tanke på erstatningskrav mot bedriften, herunder krav på yrkesskadeerstatning. Dessuten krever bokføringsloven oppbevaring av økonomiske data i fem år etter det året da arbeidsforholdet ble avsluttet (regnskapsåret).

4.4 Berettiget interesse

I artikkel 6 nr. 1 bokstav f) omtales den behandlingsansvarliges berettigedes interesse i å behandle personopplysninger, på den ene side, mot den registrertes interesser, på den andre siden. Dette er en sekkebestemmelse, som gjerne brukes der andre hjemler ikke passer så godt, men kan også benyttes i kombinasjon med andre grunnlag. Her må interesseavveiningen kunne dokumenteres, og hvor hensynene til arbeidstaker også skal være med. Vurderingen deles i tre: 1) Hva er den berettigede interesse? 2) Er behandlingen av personopplysningene nødvendig? 3) Balansevurderingen mot arbeidstakers interesse.

Artikkel 6 nr. 1 bokstav f) er med andre ord ikke en bestemmelse som gir carte blanche til å behandle personopplysninger. Motargumentene, herunder arbeidstakers interesser, må gjennomgås og vurderes, og vektes mot arbeidsgivers interesser i å behandle opplysningene. Basert på arbeidsgivers styringsrett, dvs. arbeidsgivers rett til å organisere, lede, kontrollere og fordele arbeidet, vil momentene ofte veie tungt i arbeidsgivers favør. Dette kommer imidlertid også an på hvor inngripende opplysningene er, og hvor viktig det er å behandle disse, kontra arbeidstakers interesser. I forbindelse med granskninger av kritikkverdige forhold på bedriften mv., vil bedriften i mange sammenhenger kunne vise til GDPR artikkel 6 nr. 1 bokstav f) som grunnlag for de personopplysninger som et granskningsutvalg vil måtte behandle, eventuelt i kombinasjon med artikkel 9 nr. 2 bokstav f).

4.5 Andre grunnlag for behandling av personopplysninger

I artikkel 6 nr. 1 bokstav d) omtales vern av den registrertes vitale interesser, og bokstav e) omtaler oppgaver i allmennhetens interesse. Disse grunnlagene er av liten interesse i vår sammenheng, og omtales ikke nærmere.

5 Vurdering av personvernkonsekvenser

Det er behandlingsansvarlig, dvs. arbeidsgiver, som må gjøre en vurdering av de konsekvenser som behandling av personopplysninger på bedriften innebærer. Hvor grundig denne vurderingen skal være, avhenger av hvor inngripende opplysninger det er som skal behandles. Ordinær behandling av personopplysninger i arbeidsforhold trenger ingen særskilt behandling, men det kan være aktuelt i forbindelse med innføring av ny teknologi, for eksempel flåtestyring gjennom GPS.

De noe mindre omfattende vurderinger kalles gjerne risiko og sårbarhetsanalyse, forkortet ROS, og kan henvises til i GDPR artiklene 5 og 24.

De mer omfattende kalles «Data Protection Impact Assessment», forkortet DPIA, der det er høy risiko for fysiske personers rettigheter og friheter. Nærmere om DPIA fremgår av GDPR artikkel 35 om vurdering av personvernkonsekvenser, samt hos Datatilsynet, her.

6 Kort om kontrolltiltak

Med grunnlag i arbeidsgivers styringsrett vil arbeidsgiver ha anledning til å kontrollere arbeidet, at ansatte er på arbeidet, arbeidstiden, hvor de er mv. Enkelte virksomheter har saklig grunn til mer omfattende kontroll med at ansatte ikke er beruset på arbeid mv, og noen ganger kan det være grunnlag for mistanke om tyveri, underslag, korrupsjon, illojal opptreden og annet som kan lede til oppsigelse eller avskjed. I slike tilfeller kan arbeidsgiver ha behov for særskilte kontrolltiltak, som gjennomgang av PC-bruk, e-post, kameraovervåkning mv. Alle slike kontrolltiltak vil regulært behandle personopplysninger, og må derfor tilfredsstille GDPR.

Selve grunnlaget for kontrolltiltak fremgår av arbeidsmiljøloven § 9-1, som sier:

«Arbeidsgiver kan bare iverksette kontrolltiltak overfor arbeidstaker når tiltaket har saklig grunn i virksomhetens forhold og det ikke innebærer en uforholdsmessig belastning for arbeidstakeren.»

Deretter oppstiller arbeidsmiljøloven § 9-2 drøftingsplikt med de tillitsvalgte, en plikt som i tariffbundne bedrifter også regulært fremgår av tariffavtale, som for eksempel Hovedavtalen LO-NHO § 9-11 (personellregistre og kontrolltiltak) og tilleggsavtale V.

Arbeidsmiljøloven § 9-3 og § 9-4 omtaler innhenting av helseopplysninger og gjennomføring av medisinske undersøkelser. Det er gjerne knyttet til spesielle stillinger, der det foreligger spesielle behov, som for eksempel for piloter. Vi har tidligere skrevet om innhenting av helseopplysninger og sykefravær på Jusstorget her.

Innsyn i arbeidstakers e-postkasse og annet elektronisk utstyr er omtalt i loven § 9-5, med tilhørende forskrift her. Det viktigste grunnlag for slikt innsyn er etter forskriften § 2:

«..når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten, eller b) ved begrunnet mistanke om at arbeidstakers bruk av e-postkasse eller annet elektronisk utstyr medfører grovt brudd på de plikter som følger av arbeidsforholdet eller kan gi grunnlag for oppsigelse eller avskjed.»

Deretter er det prosedyrer som skal følges for at innhentingen av informasjon er lovlig.

Her skal likevel nevnes at arbeidstakers e-postboks normalt skal slettes når den ansatte slutter, jf. forskriften § 4, som sier:

«Arbeidstakers e-postkasse skal avsluttes ved arbeidsforholdets opphør, med mindre det foreligger særskilt behov for å holde e-postkontoen åpen i en kort periode etter opphøret.»

Kameraovervåkning nevnes i § 9-6, med nærmere regler i forskrift her. Det må etter arbeidsmiljøloven § 9-1 foreligge både saklig grunn i virksomhetens forhold og det må ikke innebære en uforholdsmessig belastning for arbeidstakeren. I 2019 godtok Menneskerettsdomstolen i saken Lopez Ribalda (sak 1874/13) hemmelig kameraovervåkning av ansatte i et spansk supermarked. Omfanget av tyverier var stort og arbeidsgiver hadde derfor rimelig grunn til overvåkning. Overvåkningen skjedde dessuten bare over en tidsbegrenset periode.

Personopplysningsloven § 31 har for øvrig regler om uekte kamerautstyr, hvor man «later som» at man overvåker. Slikt utstyr underlegges samme begrensninger som ekte utstyr.

7 Databehandleravtale

En virksomhet vil ofte inngå avtale med et IKT-firma eller annen virksomhet med tanke på å drifte IKT-anlegget, rekruttere ansatte mv. Da må det inngås en egen databehandleravtale, for å sikre at personopplysningene blir tatt vare på etter personopplysningsloven og GDPR. En slik avtale er nokså standard, men må tilpasses det konkrete forholdet mellom virksomheten og IKT-leverandøren.

Artikkel 28 (3) oppstiller en rekke vilkår til innholdet i en slik avtale. Avtalen må oppfylle alle kravene.

Det danske datatilsynet har for øvrig vist til en databehandleravtale som eksempel her. For norske forhold er slik avtale nærmere beskrevet her.

8 Personvernombud

Bare enkelte virksomheter må ha personvernombud, først og fremst det offentlige. Personvernombudet er uavhengig og har som oppgave å sikre personvernet bedre i virksomheten, kontrollere at GDPR blir fulgt, og gi råd om hvordan virksomheten best mulig kan ivareta personverninteressene. I henhold til GDPR artikkel 37 skal som nevnt først og fremst offentlige virksomheter ha et personvernombud, samt andre virksomheter hvor hovedaktiviteten består i å regelmessig og systematisk overvåke personer i stort omfang, eller som behandler sensitive opplysninger i stort omfang. Dette må vurderes konkret, og kan gjerne inngå i den personvernkonsekvensvurdering vi har omtalt under pkt. 5.

9 Rett til innsyn, retting, begrensning og sletting

Den registrerte, i denne sammenheng den ansatte, har rett til å få innsyn i hvilke personopplysninger arbeidsgiver har om vedkommende, og skal ha svar innen en måned, jf. GDPR artikkel 12 nr. 3. Dette kan for eksempel gjøres ved å få innsyn i personalmappen, og/eller innsyn i automatiserte dataopplysninger som kan knyttes til vedkommende. Det nærmere innhold i retten for den registrerte til å få innsyn i personopplysningene om seg selv, fremgår av GDPR artiklene 13-15.

Rett til retting fremgår av GDPR artikkel 16, og retten til sletting i artikkel 17. Retten til retting av opplysninger er nokså ubetinget, naturlig nok.

Rett til å be om begrensning av behandlingen av personopplysninger fremgår av GDPR artikkel 18 og på visse vilkår, for eksempel, at riktigheten bestrides. Da trengs tid til å sjekke dette ut.

Retten til sletting etter artikkel 17, også kalt retten til å bli glemt, har også en del vilkår knyttet til seg, bl.a. at:

«..personopplysningene er ikke lenger nødvendige for formålet som de ble samlet inn eller behandlet for.»

I arbeidsforhold vil man derfor vanligvis ikke kunne kreve seg slettet, men overflødig informasjon, som arbeidsgiver ikke trenger, må kunne kreves slettet. Et tema i denne sammenheng er sletting av advarsler og tilrettevisninger. Staten sletter ordensstraffer, som er noe mer enn advarsler, etter fem år, jf. statsansatteloven § 25. Dette kan gi noe veiledning, og HR Norges veileder fra 2018 anbefaler fem år. I Rt-1999-163 aksepterte Høyesterett at det ble lagt vekt på pliktbrudd flere år tilbake i tid, i den saken ca. 4 år. Ved gjentatte pliktbrudd fra arbeidstaker vil arbeidsgiver ha saklig grunn til å se hele pliktbruddskjeden i sammenheng, i alle fall der disse er nokså likeartede. Det kan tale for en lengre lagringstid, også for advarsler, og endog ut over fem år. Men etter GDPR-reglene skal dette vurderes konkret, og HR Norges veileder gir antagelig en god pekepinn i mange sammenhenger.

10 Behandling av avvik, klage, bøter mv.

GDPR artikkel 33 nr. 1 legger opp til at brudd på personvernsikkerheten skal meldes inn til Datatilsynet med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter. Dette er et ansvar som hviler på behandlingsansvarlig. Avvik av betydning kan gjerne kategoriseres som brudd på konfidensialitet, integritet eller tilgjengelighet, og skal fortrinnsvis meldes skriftlig til Datatilsynet så snart som mulig, og senest innen 72 timer.

Etter GDPR artikkel 77 har en som mener seg krenket i forhold til sitt personvern anledning til å klage til Datatilsynet, med Personvernnemnda som overordnet klageorgan, jf. også personopplysningsloven §§ 20 og 22.

Brudd på personopplysningsloven og GDPR kan først og fremst lede til bøteleggelse fra Datatilsynets side (overtredelsesgebyr), jf. personopplysningsloven kapittel 7 og GDPR artikkel 83. Men også erstatningsansvar for tap kan bli aktuelt, samt oppreisningserstatning til den som bruddet har gått ut over, jf. personopplysningsloven og GDPR artikkel 82. Således kan virksomhet som bryter personopplysningsloven og GDPR også risikere individuelle søksmål samt gruppesøksmål etter tvisteloven kapittel 35.

10 Avslutning

Virksomhetene har et saklig behov for å behandle personopplysninger om sine ansatte, herunder å oppbevare informasjon også etter arbeidsforholdets avslutning. De som ikke lagrer mer informasjon enn de trenger for arbeidsforholdet, vil normalt gå klar i forhold til personvernreglene og GDPR. Ikke minst gjelder dette bedrifter med tillitsvalgte, som diskuterer og fører referater og protokoller fra møter med disse, som også inkluderer personvernspørsmål. Det som trengs i tillegg er en skriftlig personvernpolicy med et system for god ivaretakelse, behandling og sletting av personopplysninger ut fra de prinsipper som fremgår av GDPR, og som er behandlet foran. Virksomheter med en god personvernpolicy kan antas å ha et konkurransefortrinn som foretrukne samarbeidspartnere for andre virksomheter i inn og utland, samt i forhold til publikum for øvrig, fordi det er mindre risiko knyttet til samarbeid med slike virksomheter. Risiko og konsekvenser ved feilbehandling av personopplysninger kom på spissen i Facebooks Cambridge Analytica-skandalen, med skyhøye bøtenivåer i 2019, nedleggelse av Cambridge Analytica, og omfattende negativ medieoppmerksomhet.

Virksomhetene har et saklig behov for å behandle personopplysninger om sine ansatte, herunder å oppbevare informasjon også etter arbeidsforholdets avslutning. De som ikke lagrer mer informasjon enn de trenger for arbeidsforholdet, vil normalt gå klar i forhold til personvernreglene og GDPR. Ikke minst gjelder dette bedrifter med tillitsvalgte, som diskuterer og fører referater og protokoller fra møter med disse, som også inkluderer personvernspørsmål. Det som trengs i tillegg er en skriftlig personvernpolicy med et system for god ivaretakelse, behandling og sletting av personopplysninger ut fra de prinsipper som fremgår av GDPR, og som er behandlet foran. Virksomheter med en god personvernpolicy kan antas å ha et konkurransefortrinn som foretrukne samarbeidspartnere for andre virksomheter i inn og utland, samt i forhold til publikum for øvrig, fordi det er mindre risiko knyttet til samarbeid med slike virksomheter. Risiko og konsekvenser ved feilbehandling av personopplysninger kom på spissen i Facebooks Cambridge Analytica-skandalen, med skyhøye bøtenivåer i 2019, nedleggelse av Cambridge Analytica, og omfattende negativ medieoppmerksomhet.

by

Motregning i offentlig pensjon med foreldede krav pga. gamle feilutbetalinger fra pensjonsleverandøren

1. Innledning


Hovedregelen i norsk rett er at alle krav (fordringer) foreldes etter tre år – enten det er tale om private eller offentligrettslige krav, krav på penger eller annet, jf. foreldelsesloven § 2, sml. § 1. Foreldelse har bl.a. som formål å beskytte skyldneren (debitor) mot gamle krav; dokumentasjon blir vanskeligere, skyldner kan ha innrettet seg etter at kravet ikke fremmes mm. Ved foreldelse har ikke kreditor lenger krav på oppfyllelse, jf. foreldelsesloven § 24.

Høyesterett har nå avklart et viktig unntak fra foreldelse som tilgodeser de offentlige pensjonsleverandørene og gjør at deres tilbakebetalingskrav etter feilutbetalinger ikke foreldes, selv om de skulle gå 30-40 år tilbake i tid. Den 02.09.19 ( HR-2019-1662-A) avgjorde Høyesterett at Statens pensjonskasse (SPK) kunne foreta motregning i statspensjonistens pensjonskrav etter tidligere feilutbetalinger fra SPK, og selv om tilbakebetalingskravene for lengst var foreldet. Årsaken til dette var at tilbakebetalingskravet etter feilutbetalinger sprang ut av samme rettsgrunnlag som kravet på alderspensjon, og at hovedkravet – kravet på alderspensjon – hadde oppstått før motkravet var foreldet.

Saken er relevant for alle offentlige ansatte fordi KLP og andre pensjonsleverandører i det offentlige stort sett operer etter de samme regler.

Jeg omtaler de offentlige pensjonsleverandørene også som «pensjonskassen,»og nevner for ordens skyld at jeg representerte partshjelper i saken for Høyesterett.


2. Lovgrunnlaget


I norsk rett kan det kreves tilbakebetaling etter feilutbetalinger etter den såkalte condictio-indebiti-læren (av latin: «ikke gjeld»), som omfatter en rekke momenter i en totalvurdering, bl.a. mottakerens skyld. For feilutbetalinger fra SPK er tilbakebetalingskrav hjemlet i SPK-loven § 44 sjette og syvende ledd, hvor sjette ledd gjelder saker der mottaker kan bebreides for å ha tatt imot feilutbetalingen, mens syvende ledd gjelder der mottakeren ikke kan bebreides. Saken for Høyesterett gjaldt et tilfelle der mottakeren kunne bebreides noe. SPK-loven § 44 sjette ledd sier:


«Dersom et medlem har mottatt en ytelse etter denne loven i strid med redelighet og god tro, kan beløpet kreves tilbakebetalt. Pensjonskassen kan også kreve en ytelse tilbake når et medlem eller noen som har handlet på medlemmets vegne, uaktsomt har gitt feilaktige eller mangelfulle opplysninger. Det samme gjelder dersom utbetalingen skyldes feil fra Pensjonskassens side og mottakeren burde ha forstått dette.»

Bebreidelsen mot ankende part i denne saken var særlig at han ikke hadde reagert da han fikk tildelt 100 % uførepensjon, mens han bare hadde søkt om 50 %.

Foreldelsesloven § 26 gir viktige unntak fra foreldelse. Den sier:


«Foreldelse av en fordring medfører ikke at fordringshaveren taper motregningsrett, såfremt:
a) denne rett er avtalt, eller
b) det krav som det motregnes mot, springer ut av samme rettsforhold som den foreldede fordring og er oppstått før denne fordring ble foreldet.»

Det er bokstav b) som er av interesse her.

Spørsmålene for Høyesterett var:

  1. om hovedkrav og motkrav kunne sees som konnekse, med derpå følgende utvidet motregningsadgang, og

2. om når hovedfordringen (alderspensjonskravet) kunne anses oppstått; ved innmelding i pensjonskassen, eller på et senere tidspunkt.


Tilbakebetalingskrav fra offentlig pensjonskasse kan klages inn for Trygderetten innenfor en frist på seks uker, jf. trygderettsloven § 9. KLP-vedtektene viser til tilsvarende ankeadgang.


3. Kort om faktum i saken


A er utdannet lege og har medlemskap i SPK som følge av to perioder; først som bedriftslege i Statens Vegvesen, og deretter som høyskolelektor frem til 2007. Han fikk i 2007 innvilget 50 % uførepensjon i SPK. På grunn av feil i SPK fikk han imidlertid utbetalt 100 % uførepensjon, noe som fremgikk av første tildelingsbrev. A forklarte at han misforsto dette. Da han gikk av med alderspensjon i 2016 ble feilutbetalingene oppdaget. Disse ble krevd tilbakebetalt, til tross for at feilutbetalingene lå langt tilbake i tid og over grensen på tre år. Det foreldede kravet mot A pga. eldre feilutbetalinger av for mye uførepensjon, var på ca. 470.000 kr. A klaget saken inn for Trygderetten, som fant at det var grunnlag for tilbakebetalingskravet, men at kravet var foreldet og ikke kunne motregnes mot As krav på alderspensjon.

SPK anket saken inn for lagmannsretten, som kom til at kravet var foreldet men kunne motregnes fordi kravene sprang ut av samme rettsforhold og således var konnekse, samt at kravet på alderspensjon var oppstått før motkravene ble foreldet. Saken ble anket videre til Høyesterett, som behandlet saken 13. og 14.08.19, med domsavsigelse 02.09.19.


4. Høyesteretts vurderinger


Høyesterett kom enstemmig til at kravene var konnekse og at hovedkravet oppsto suksessivt ettersom arbeidstaker arbeidet i staten. Dermed hadde hovedkravet oppstått før motkravene ble foreldet, og full motregning kunne skje. Høyesterett var enig i lagmannsrettens dom når det gjaldt vurderingen av konneksitet (avsnitt 55), hvor lagmannsretten hadde uttalt:

«Kravene inngår etter lagmannsrettens syn i et mer omfattende kompleks av rettigheter og forpliktelser som kan tilbakeføres til et felles grunnlag, jf. Jens Edvin Andreassen (Skoghøy), Factoringpant, 1990 side 367. Lagmannsretten kan ikke se at forskjellene i vilkår og omfanget av rettighetshavere for henholdsvis alders- og uførepensjon er avgjørende for vurderingen av om kravene er konnekse. Vilkårene for motkravet, altså tilbakebetaling av for mye utbetalt uførepensjon, er ikke nødvendigvis knyttet til vilkårene for uførepensjon. Det er heller ikke et vilkår for konneksitet at kravene kan knyttes til samme faktum. Lagmannsretten mener i alle tilfeller at sammenhengen mellom uførepensjon og alderspensjon i seg selv tilsier at SPK bør ha anledning til å motregne krav om tilbakebetaling av uførepermisjon i alderspensjonen. Begge ytelsene er knyttet til medlemmets ansettelsesforhold i staten og medlemskap i SPK. Både alders- og uførepensjon er ment å sikre medlemmet ved inntektsbortfall, enten ved bortfall av inntektsevne på grunn av sykdom eller ved at medlemmet når pensjonsalder. SPK sitt krav om tilbakebetaling av uførepensjon og de saksøktes krav på alderspensjon er etter lagmannsrettens syn så nært knyttet til hverandre at de må anses som ‘samme rettsforhold’ etter foreldelsesloven § 26 bokstav b.»

Når det gjaldt spørsmålet om når alderspensjonskravet hadde oppstått, uttalte Høyesterett (avsnitt 77-81):

«Som redegjort for tidligere, etableres rettighetene til alderspensjon ved ansettelse i staten og tilhørende medlemskap i Pensjonskassen. Etter pensjonskasseloven § 5 beregnes tjenestetid fra ansettelsesforholdets start, og dersom et medlem slutter for så senere å ta nytt statlig arbeid, fortsetter opptjeningen i Statens pensjonskasse ved den nye ansettelsen i staten. Såfremt et medlem samlet har mer enn tre års tjenestetid ved pensjonsalder, vil medlemmet ha krav på alderspensjon basert på faktisk tjenestetid regnet fra ansettelsestidspunktet.


Det ligger i denne ordningen at retten til pensjon opptjenes suksessivt. Gjennom opptjeningstiden vil kravet på pensjon gradvis materialisere seg. Forpliktelsen akkumuleres etter hvert som medlemmet utfører sin arbeidsytelse.


På denne bakgrunn kan jeg vanskelig se at fordringen først kan regnes for å være oppstått ved oppnådd pensjonsalder. Etter mitt syn er man da kommet til forfallstidspunktet.


Ved avtaleinngåelsen vil kravet på pensjon være en teoretisk fordring. I lys av de vilkår som knytter seg til opptjening av pensjon i Statens pensjonskasse, er det etter min oppfatning mest nærliggende å se det slik at kravet på alderspensjon først oppstår etter som fordringen får et materielt innhold. For at motregning skal kunne finne sted, må det derfor foreligge et hovedkrav som det i prinsippet kunne ha vært mulig å motregne i.


Dette innebærer at det vil være adgang til å motregne de foreldete kravene i den andel av den løpende alderspensjonen fra Statens pensjonskasse som var opptjent på tidspunktet da tilbakebetalingskravene ble foreldet. Den andelen av den løpende alderspensjonen som da ennå ikke er opptjent, vil med andre ord være beskyttet mot å bli motregnet i.»


I denne saken var uførepensjon innvilget allerede i 2007, hvilket ga rett til overgang til alderspensjon på et senere tidspunkt. Derved måtte alderspensjonskravet anses oppstått allerede i 2007.

Motregning av konnekse krav hviler på rimelighetsbetraktninger; at det vil være urimelig at en som får et hovedkrav mot seg ikke kan motregne når kravene står i en viss tilknytning til hverandre. Samtidig oppfattet pensjonisten det som urimelig at han skulle få avkortet sin pensjon pga. foreldede tilbakebetalingskrav etter feil hos SPK. Til dette uttalte imidlertid Høyesterett (avsnitt 87):

«Jeg tilføyer at jeg ikke kan se at en motregningsadgang etter de linjer jeg har skissert vil være urimelig eller uforholdsmessig. Det er rettskraftig avgjort at det foreligger et tilbakebetalingskrav, og at A er å bebreide for manglende overholdelse av kontroll- og informasjonsplikten. Statens pensjonskasse praktiserer såkalt «hensynsfull motregning» gjennom løpende nedbetaling uten rentebelastning, og under enhver omstendighet vil dekningsloven § 2-7 komme inn som en sikkerhetsventil.»


Høyesterett avviste til slutt at motregning kunne komme i strid med Den europeiske menneskerettskonvensjon protokoll 1-1.


5. Avslutning


Med Høyesteretts dom fikk vi avklart flere sider av foreldelsesloven § 26 b, og hva som ligger i kravet til samme rettsgrunnlag (konneksitet). Her var det vist til at hovedkrav og motkrav var knyttet til medlemmets ansettelsesforhold i staten og medlemskap i SPK, og dermed kunne henføres til samme rettsgrunnlag. Med hensyn til når kravet på alderspensjon kunne anses oppstått, aviste Høyesterett at dette oppsto først når vilkårene for alderspensjon var til stede. Isteden fant Høyesterett at retten til pensjon oppsto suksessivt. Gjennom opptjeningstiden ville kravet på pensjon gradvis materialisere seg. Dermed forelå det tidlig et hovedkrav, som pensjonskassen i prinsippet ville kunne motregne i. Dermed vil det være sjelden at tilbakebetalingskravene foreldes.

Det er etter dommen således klart at offentlige pensjonsleverandører kan motregne med foreldede motkrav fra tidligere feilutbetalinger, så lenge mottaker kan bebreides eller det foreligger andre forhold som tilsier tilbakebetaling. Skal det gjøres endringer i dette, for eksempel fordi det skaper usikkerhet rundt de offentlige pensjoner, vil det kreves lovendring.

by , og

Juridiske virkemidler mot sosial dumping

Økt arbeidsinnvandring og tjenester over grensene har gitt mange positive ringvirkninger. I enkelte bransjer har det likevel vært utfordringer knyttet til konkurranse fra utenlandske arbeidstakere og foretak med vesentlig lavere lønns- og arbeidsbetingelser, og tilfeller av det som kan karakteriseres som sosial dumping. Artikkelen går gjennom hva sosial dumping er og noen av de viktigste juridiske virkemidlene for å hindre dette, som også bedriftene kan benytte 

[Les mer…]