Banner top Til forsiden Econa

Bruk av digitale kontrollteknologier og ivaretakelse av personvern i arbeidsforhold

figur-author

Sammendrag

Den teknologiske utviklingen gjør det mulig å samle inn stadig større menger opplysninger om når, hvor og hvordan arbeidsoppgaver utføres. Arbeidsgivers bruk av digitaliserte kontroll- og styringssystemer er underlagt regler både i arbeidsmiljøloven og personopplysningsloven med forskrift. Fra 2018 innføres nye personvernregler, da EUs forordning for personvern implementeres i norsk lov. Dette vil også få konsekvenser for virksomhetenes bruk av kontrolltiltak rettet mot ansatte. Personvern i arbeidsforhold handler i stor grad om hvilke rutiner arbeidsgiver har for bruk, oppbevaring og lagring av personopplysninger. På bakgrunn av en undersøkelse blant norske arbeidsgivere i fire bransjer drøftes personvernets vilkår i arbeidsforhold med dagens regler. Svar på disse spørsmålene vil også gi en pekepinn på hvordan norske virksomheter vil tilpasse seg de nye personvernreglene ved bruk av digitale kontroll- og styringssystemer.

Innledning

I mai 2018 kommer nye personvernregler, da skal EUs forordning for personvern implementeres i norsk lov. Dette vil få konsekvenser for ivaretakelse av personvernet og håndtering av personopplysninger på en rekke samfunnsområder, også for norske virksomheters bruk av ulike kontrolltiltak rettet mot ansatte og det arbeidet som utføres. Hva de nye reglene vil bety for virksomhetens bruk av kontrolltiltak og ansattes personvern, er foreløpig et åpent spørsmål. Datatilsynet legger ut tolkninger og gir veiledning i den nye personvernloven. Når det gjelder krav til virksomhetene, sier Datatilsynet at de nye reglene legger større vekt på virksomhetenes personvernpolitikk, informasjon og rutiner. Det stilles også krav om at personvern skal bygges inn i nye løsninger. På arbeidslivsområdet er de nye personvernreglene på mange måter et svar på utfordringer knyttet til økende digitalisering, nye kontrollformer, økt overvåking av ansatte og økende press på ansattes personvern (Schartum & Bygrave, 2011). Den teknologiske utviklingen gjør det mulig å samle inn stadig større menger opplysninger om når, hvor og hvordan arbeidsoppgaver utføres. Fra 1990-tallet har det skjedd et skifte fra direkte eller byråkratisk kontroll til mer indirekte og selvdisiplinerende kontroll gjennom bruk av digitaliserte kontroll- og overvåkingsformer i store deler av arbeidslivet (Thompson, 2003; Rosengren & Ottosson, 2016). Når det gjelder virksomhetenes bruk av kontrolltiltak og ansattes personvern, er dette regulert av bestemmelser både i arbeidsmiljøloven (aml) og i personopplysningsloven (pol) med forskrift. Dette innebærer at lovreguleringen på området er kompleks og kan i mange tilfeller oppleves som vanskelig å etterleve. I løpet av de siste ti årene er det gjennomført flere undersøkelser hvor kontroll og overvåking i arbeidslivet og utfordringer for ansattes personvern og arbeidsmiljø har vært tema (Bråten, 2008; Bråten, 2010; Bråten & Tranvik, 2012; Tranvik, 2013; Bråten, 2016). Disse undersøkelsene danner bakteppet for denne artikkelen, hvor spørsmål omkring norske arbeidsgiveres bruk av digitaliserte kontroll- og styringssystemer og implikasjoner for ansattes personvern drøftes. Problemstillingen i artikkelen består av følgende to hovedspørsmål:

  • Hvilke motiver, holdninger og praksis har norske arbeidsgivere når det gjelder bruk av IKT-baserte kontroll- og styringssystemer?
  • Hvilke implikasjoner har dette for ansattes personvern?

Om kontrolltiltak i arbeidslivet

Kort fortalt handler kontroll i arbeidslivet om ledelsens muligheter til å følge med på hva ansatte gjør på jobben, slik at de gjør det de skal, og bruker tiden fornuftig. Kontrolltiltak gir også ledelsen muligheter for å korrigere eller sanksjonere ansatte som ikke gjør som de skal. Det er vanlig å skille mellom fysiske (for eksempel veskekontroll og rusmiddeltesting) og elektroniske kontrolltiltak. Her skal vi konsentrere oss om elektroniske tiltak, som omfatter ulike teknologier slik som for eksempel: videoovervåking, overvåking av telefonsamtaler, elektronisk adgangskontroll, registrering av e-post og internettbruk, sporing gjennom GPS-baserte systemer og bruk av biometriske data for adgangskontroll og pålogging. Men mulighetene for overvåking finnes også innebygd i flere av de verktøyene mange bruker daglig i jobben, slik som PC, smarttelefon og adgangskort – som igjen kan sammenkobles i nettverk og gi detaljert informasjon om adferd. Gjennom å bruke disse legger den ansatte igjen en rekke elektroniske spor som kan brukes til å kontrollere hvor man har vært – både fysisk og på internett – og hva som er blitt gjort i løpet av en arbeidsdag.

Bruken av elektroniske kontroll- og styringstiltak i arbeidslivet er blitt mer omfattende i løpet av det siste tiåret. Arbeidsgiverne er mer opptatt av hvordan hver enkelt ansatt bidrar til virksomhetenes lønnsomhet eller måloppnåelse, og ny teknologi muliggjør økende styring og kontroll på individnivå (Tranvik & Bråten, 2015).

Det er vanskelig å anslå omfanget av kontroll- og styringstiltak i arbeidslivet. I en undersøkelse Fafo gjennomførte i 2010, svarte nærmere 60 prosent av ansatte at de var omfattet av ett eller flere elektroniske kontrolltiltak. I Statistisk sentralbyrås levekårsundersøkelse (LKU) i 2013 svarte drøyt 40 prosent av arbeidstakerne at de var omfattet av ett eller flere slike kontrolltiltak på jobben. Det er grunn til å anta at dette tallet er høyere i dag – teknologien blir stadig billigere og lettere tilgjengelig – i mange tilfeller er overvåkingsteknologien bygd inn i de verktøyene arbeidsgiver kjøper. Det er blant annet denne formen for innebygd overvåkingsteknologi den nye personvernloven vil begrense.

Generelt er det gjort få undersøkelser om arbeidsgivernes holdninger og praksis når det gjelder behovet for kontroll- og styringssystemer og ansattes rett til personvern. Et eksempel på en slik undersøkelse er imidlertid Ravlum (2005), som konkluderte med at det fantes en grunnleggende positiv holdning til personvern blant virksomhetslederne – til tross for at nærmere én av tre svarte at de ikke hadde oppfylt noen av kravene som følger av personopplysningsloven eller forskriften.

Perspektiver på personvern

Arbeidsgivers kontrollinteresser vil i mange tilfeller være relativt kontrete og enkle å forstå. Det handler ofte om behov for effektivisering og rasjonalisering av driften, behov for bedre dokumentasjon av arbeidsutførelsen, økt personellsikkerhet og bedre regeletterlevelse (Tranvik, 2013). Hva ansattes interesser i personvern handler om, kan derimot være vanskeligere å konkretisere. Schartum og Bygrave (2011) framstiller tre perspektiver på personvern som også har vært sentrale i offentlige utredninger om personvern og sentrale lovforarbeider (NOU 1997:19). De tre perspektivene er integritetsperspektivet, beslutningsperspektivet og maktperspektivet. Til grunn ligger en interessemodell som tar utgangspunkt i (minst) to aktører med dels sammenfallende og dels motstridende interesser. De tre perspektivene er nærmere drøftet i Schartum og Bygrave (2011). Her nevnes kort noen hovedtrekk:

Integritetsperspektivet handler om individets interesse i å verne sitt personlige og sosiale liv mot uønskede forstyrrelser eller urettmessig inngripen utenfra, dette gjelder også i arbeidslivet. Personvernet betraktes som et grunnleggende ønske om å ha kontroll over opplysninger om seg selv, særlig over opplysninger som oppleves som personlige.

Beslutningsperspektivet forutsetter at beslutninger baseres på personopplysninger, og på grunnlag av det reises det krav om behandlingen av personopplysningene. I arbeidslivet handler beslutningsperspektivet om retten til personvern når arbeidsgiver bruker opplysninger om hver enkelt ansatt til å fatte beslutninger som har betydning for arbeidsforholdet eller innholdet i arbeidet.

Maktperspektivet handler om spørsmålet om makt og innflytelse mellom ulike grupper og/eller personer i samfunnet. Hvis kunnskap er makt, vil også kunnskap om andre mennesker gi makt, spesielt over de mennesker kunnskapen gjelder.

Personvern og personopplysningsvern

Personvernkommisjonen skiller mellom personvern og personopplysningsvern (NOU 2009:1, s. 32). Følgende definisjon legges til grunn:

  • «Personvern dreier seg om ivaretakelse av personlig integritet; ivaretakelse av enkeltindividers mulighet for privatliv, selvbestemmelse (autonomi) og selvutfoldelse. Eksempel på en personvernbestemmelse er vernet av privatlivets fred i straffeloven § 390.
  • Personopplysningsvern dreier seg om regler og standarder for behandling av personopplysninger som har ivaretakelse av personvern som hovedmål. Reglenes formål er å sikre enkeltindivider oversikt og kontroll over behandling av opplysninger om dem selv. Med visse unntak skal enkeltpersoner ha mulighet til å bestemme hva andre skal vite om hans/hennes personlige forhold. Det er denne delen av personvernretten som er underlagt den mest omfattende lovregulering i for eksempel personopplysningsloven, helseregisterloven, regler om taushetsplikt og så videre.»

Kommisjonen framholder at et tilfredsstillende personopplysningsvern ofte er en forutsetning for godt personvern og omvendt. I litteraturen har personopplysningsverntilnærmingen vært dominerende i flere tiår (se Schartum & Bygrave, 2011). Når det gjelder arbeidslivet, skriver Borchgrevink (2011) at arbeidstakernes interesse i å unngå kontrolltiltak som oppleves ubehagelig nærgående, primært vil være et personvernspørsmål. Dessuten kan kontrolltiltak innebære elektronisk innsamling og videre bearbeiding av opplysninger om de ansatte. Dermed vil spørsmål om personopplysningsvern være relevant også i arbeidslivet. Det kan være nyttig å gjøre oppmerksom på disse forskjellene i definisjonen av personvern og personopplysningsvern, men det er vanlig å bruke personvern som felles betegnelse for de to begrepene (Borchgrevink, 2011; Kjølaas, 2010).

Lovgivningen

Styringsretten gir arbeidsgiver anledning til å iverksette ulike kontroll- og overvåkingstiltak i virksomheten. På dette området er imidlertid arbeidsgivers styringsrett begrenset av bestemmelser både i arbeidsmiljøloven og personopplysningsloven.

Arbeidsmiljølovens kapittel 9 gjelder dersom systemet defineres som et kontrolltiltak 1. Her stilles det betingelser for innføring av kontrolltiltak (krav om saklighet og forholdsmessighet), og det kreves at innføringsprosessen skal følge bestemte saksbehandlingsregler (blant annet er det bestemmelser om medvirkning og informasjon til ansatte).

Hvis en opplysning som blir samlet inn, blir behandlet elektronisk eller registrert i et personregister, vil personopplysningsloven gjelde. Da er det en personopplysning i lovens forstand. Personopplysningloven gir med andre ord lite begrensninger mot at arbeidsgiver skal kunne iverksette kontrolltiltak – med noen få unntak, slik som for eksempel kameraovervåking. Borchgrevink (2011) framholder at hvorvidt et kontrolltiltak overfor en arbeidstaker kan iverksettes, reguleres av arbeidsmiljøloven. Hvis en opplysning som blir samlet inn gjennom kontrollsystemet, blir behandlet elektronisk eller registrert i et personregister, vil personopplysningsloven med forskrift gjelde i tillegg.

Utvalg og metode

Datamaterialet er hentet fra en undersøkelse om norske virksomheters bruk av IKT-baserte systemer for å kontrollere og overvåke arbeidet og de ansatte – direkte eller indirekte. Undersøkelsen var rettet mot daglig leder eller personalansvarlig, og bare virksomheter som hadde minst ett av følgende seks definerte IKT-systemer, deltok: 2

  • registrering av telefonsamtaler, for eksempel medlytt eller informasjon om samtaletrafikk
  • registrering av innkommet og/eller utsendt e-post
  • registrering av hvilke internettsider ansatte besøker på virksomhetenes datasystemer
  • kameraovervåking av de områdene der ansatte er når de utfører mesteparten av arbeidet
  • feltteknologier 3 som registrerer arbeid utført utenfor fast arbeidssted – for eksempel GPS, mobilposisjonering, elektronisk kjørebok, PDA og systemer tilknyttet smarttelefoner
  • elektronisk registrering av hvor mye den enkelte ansatte gjør i hver arbeidsøkt – for eksempel produsert mengde, utførte arbeidsoppdrag, antall salg med mer

Virksomheter fra følgende fire bransjer deltok: industri, transport og lager, finansiering og forsikring samt offentlig administrasjon – unntatt forsvar, politi, fengsel og sentraladministrasjon. Bransjene ble valgt på bakgrunn av funn i SSBs levekårsundersøkelse i 2013 blant norske arbeidstakere som ga grunn til å anta at IKT-baserte kontroll- og styringssystemer var mest utbredt i disse bransjene. Bare virksomheter med ti eller flere ansatte ble trukket ut i undersøkelsen. Totalt ble det gjennomført 1 463 intervjuer med daglig leder eller personalansvarlig i perioden 24. juni–16. september 2015. Av disse hadde 612 tatt i bruk ett eller flere av de aktuelle kontroll- og styringssystemene, og fikk spørsmål om implementering og bruk av systemene. 4

Omfattende bruk av kontrolltiltak i enkelte bransjer

figur

Figur 1 Utbredelse av IKT-baserte kontroll- og styringssystemer per bransje. Prosent. N = 1 463.

Figur 1 viser hvordan utbredelsen av de aktuelle systemene varierer mellom bransjene. Totaltallet per bransje viser hvor stor andel av virksomhetene som har minst ett av de aktuelle systemene. Innenfor finansiering og forsikring ser vi at hele 74 prosent har minst ett av de seks systemene. Denne bransjen er på topp når det gjelder kameraovervåking og registrering av telefonsamtaler. Elektronisk registrering av utført arbeid er også vanlig innenfor denne bransjen. Innenfor transport og lagring ser vi også at andelen som har slike systemer, er stor, nærmere 60 prosent bekrefter her at de har minst ett av disse systemene. Feltteknologier som registrerer arbeid utført utenfor fast arbeidssted, er det systemet som er mest brukt innenfor transport og lagring. Dernest kommer elektronisk registrering av utført arbeid og kameraovervåking. Innenfor industri og offentlig administrasjon er andelen som svarer at de har minst ett av disse systemene, noe mindre, men også i disse bransjene ser vi at om lag én av tre bruker slike systemer. Innenfor industri er elektronisk registrering av hvor mye den enkelte gjør i hver arbeidsøkt, det systemet som flest bruker, mens innenfor offentlig administrasjon er registrering av e-post det mest brukte systemet. Med andre ord er elektroniske kontroll- og styringssystemer utbredt i alle disse bransjene og brukes for ulike yrkesgrupper. Det er noe variasjon mellom bransjene når det gjelder hvilke systemer som brukes – det er blant annet knyttet til type produksjon og arbeidsoppgaver i de ulike bransjene.

Antall kontrolltiltak per virksomhet

Arbeidsmiljøloven § 9–1 angir de generelle vilkårene for arbeidsgivers kontrolladgang. Det stilles krav om at kontrolltiltaket må være saklig begrunnet i virksomheten. Det må også gjøres en forholdsmessighetsvurdering – noe som innebærer en samlet vurdering av samtlige kontrolltiltak i virksomheten. Et kontrolltiltak som isolert sett er saklig, vil likevel ikke være lovlig dersom det medfører at en rimelig tålegrense for arbeidstakerne blir overskredet.

figur

Figur 2 Antall IKT-systemer per virksomhet. Prosent. N = 1 463.

Figur 2 viser at det er mest vanlig at virksomhetene har ett av de aktuelle systemene. Den største andelen som svarer at de har to av de seks systemene, finner vi innenfor finansiering og forsikring (24 prosent) og transport og lagring (14 prosent). Det er også i disse bransjene vi finner den største andelen som svarer at de har tre eller flere systemer. Bruk av flere systemer i virksomhetene vil også gi økte muligheter for å kontrollere og overvåke ansatte.

Begrunnelser for bruk av kontroll- og styringssystemer

Det kan være flere ulike grunner til at arbeidsgiver ønsker å ta i bruk ulike kontroll- og overvåkingssystemer i virksomheten. Begrunnelsen kan være et behov for bedre arbeidsstyring eller for å øke ansattes sikkerhet på jobb. Begrunnelsen kan også være knyttet til behov for å kontrollere hvordan arbeidet blir utført, og hvorvidt det forekommer uregelmessigheter, eller for å etterkomme krav stilt i lov eller forskrift. Arbeidsmiljøloven kapittel 9 legger vekt på kravet om saklighet og forholdsmessighet ved iverksetting av kontrolltiltak, og personopplysningsloven stiller krav om at behandlingsansvarlig (arbeidsgiver) skal ha et klart definert formål med behandling av personopplysninger. For å kartlegge motiver ble arbeidsgiverne bedt om å oppgi begrunnelser for bruk av de ulike systemene etter en forhåndsdefinert liste, men hvor det også var mulig å oppgi andre/egne begrunnelser. 5 Begrunnelsene som får størst oppslutning, er: for å etterkomme krav stilt i lov eller forskrift eller for å sikre bedre arbeidsstyring. Hensynet til ansattes sikkerhet eller hensynet til kunder eller klienter er også begrunnelser som en stor andel oppgir. Begrunnelser knyttet til kontroll med den enkelte ansatte og det arbeidet hver enkelt utfører, kommer imidlertid langt ned på listen hos de aller fleste arbeidsgiverne. Et unntak er de som bruker elektronisk registrering av hvor mye den enkelte ansatte gjør i hver arbeidsøkt. Blant disse oppgir 42 prosent det å kontrollere hvordan arbeidet blir utført, som begrunnelse for systemet.

Arbeidsgiverne i undersøkelsen fikk altså konkrete spørsmål om begrunnelsene for de aktuelle systemene. Her må det imidlertid legges til at det kan være andre og mer underliggende drivkrefter for økt kontroll med ansatte. Den teknologiske utviklingen og innføring av nye elektroniske verktøy i arbeidet bidrar i seg selv til at mulighetene for detaljert kontroll med ansattes tidsbruk, lokalisering og arbeidsutførelse blir stadig større, og kan ytterligere forsterkes gjennom muligheter for sammenkobling av data fra ulike kilder, nettverk og plattformer både innenfor og utenfor den aktuelle organisasjonen (Christl & Spiekermann, 2016). Arbeidsgivere vil i varierende grad være opptatt av å benytte slike innebygde og sammenkoblede muligheter for å kontrollere ansatte. Dette perspektivet knytter seg til en større diskusjon om bruk av stordata, som også kan være relevant innenfor deler av arbeidslivet. Bruken av ulike kontrollteknologier i arbeidslivet vil også være relevant i lys av diskusjoner omkring tingenes internett og hvordan denne nye infrastrukturen for datainnsamling og utveksling kan påvirke personvern og databeskyttelse på arbeidsplassen – dette er særlig relevant ved bruk av ulike feltteknologier med muligheter for GPS-sporing (Weber, 2015; Christl & Spiekermann, 2016; European Parliamentary Technology Assessment (EPTA), 2016). Det kan også nevnes at interne kontrollsystemer som skal øke virksomhetenes datasikkerhet, i et personvernperspektiv kan sees som et potensielt verktøy for individuell kontroll. Med disse kontrollsystemene skjer en detaljert registrering av adferdsdata for å oppdage, vurdere samt svare på sikkerhetsavvik (Cormarck, 2016). Krav om systemer for bedre datasikkerhet på et område kan med andre ord gi økt kontroll med ansatte og personvernutfordringer som en utilsiktet konsekvens.

Tranvik (2013) viser i sin studie av feltteknologier i ulike yrker hvordan feltteknologiproduktene ofte består av sammensetninger av ulike typer komponenter – teknologier eller funksjonaliteter – som hver for seg eller til sammen tilbyr en lang rekke muligheter for innhenting av opplysninger om ansatte og deres aktiviteter. Den teknologiske utviklingen i kombinasjon med fallende priser på disse produktene kan være en viktig driver for at flere virksomheter tar slike systemer i bruk. Kontrollmulighetene med ansatte øker betydelig – uten at arbeidsgiverne nødvendigvis har etterspurt alle de kontrollmulighetene som disse systemene innebærer. Økt kontroll kan bli en konsekvens uten at dette egentlig var tilsiktet ved innføring av systemene. Det unntar likevel ikke arbeidsgiverne fra å følge reglene i arbeidsmiljøloven ved innføring og personvernlovgivningen i behandlingen av informasjon fra systemene.

Disse eksemplene illustrerer hvordan begrunnelsene kan være forankret i mer dyptgripende endringsprosesser knyttet både til den teknologiske utviklingen i seg selv, og til endringer i virksomhetsstyringen og organiseringen av arbeidet.

Innføringen av systemet

Arbeidsmiljøloven kapittel 9 har bestemmelser om at arbeidsgiver så tidlig som mulig plikter å drøfte behov, utforming, gjennomføring og vesentlige endringer av kontrolltiltak i virksomhetene med arbeidstakernes tillitsvalgte. Tillitsvalgte har drøftingsrett, men ikke forhandlingsrett om kontrolltiltak i virksomhetene. Blant arbeidsgiverne i undersøkelsen svarer 79 prosent at det finnes tillitsvalgte for én eller flere fagforeninger i virksomheten. Blant disse svarer 84 prosent at bruken av det aktuelle systemet er drøftet med ansattes tillitsvalgte. Andelen som oppgir at bruken er drøftet med tillitsvalgte, er størst blant dem som har ett av disse tre systemene: elektronisk registrering av hvor mye den enkelte gjør, kameraovervåking og feltteknologier.

Totalt 71 prosent oppgir at det er utarbeidet avtaler eller retningslinjer for bruk av systemet. Andelen som har avtaler eller retningslinjer, er likevel høyere i virksomheter med tillitsvalgte (73 prosent) enn i virksomheter uten tillitsvalgte (62 prosent). Den største andelen som svarer at de har avtaler eller retningslinjer, finnes blant dem som har kameraovervåking av arbeidet. Personopplysningsloven med forskrift har særskilte, supplerende bestemmelser om fjernsyns-/videoovervåking. Generelt strengere lovgivning ved bruk av kameraovervåking kan være en forklaring på den relativt sett høyere andelen som svarer at de har avtaler eller retningslinjer for bruk av kameraovervåking.

Rutiner for lagring og sletting

Personopplysningsloven gjelder for behandling av personopplysninger på alle samfunnsområder, inkludert arbeidslivet. Dette betyr at så lenge kontrolltiltaket innebærer en behandling av personopplysninger, vil dette være regulert av personopplysningsloven. Personopplysningsloven bygger på prinsippet om menneskets rett til å bestemme over opplysninger om seg selv – et prinsipp som styrkes i den nye EU-forordningen om personvern. Personvernlovgivningen legger forholdsvis stor vekt på systemer og rutiner, og stiller en rekke prosessuelle krav til den behandlingsansvarlige (arbeidsgiver). Det vil si at arbeidsgiver må følge visse krav til framgangsmåten ved behandling av personopplysninger. I undersøkelsen ble det stilt spørsmål om rutiner for informasjon, lagring og sletting av personopplysninger fra de ulike kontroll- og styringssystemene. Dette er forhold som er regulert i personopplysningsloven med forskrift.

Hele 92 prosent av arbeidsgiverne svarer at ansatte har blitt informert om hvilke opplysninger som samles inn i det aktuelle systemet. 60 prosent svarer at de lagrer personopplysninger fra kontrollsystemene – av disse har bare 61 prosent rutiner for å slette opplysninger etter en bestemt tid. Det er med andre ord en betydelig andel virksomheter som mangler rutiner for å slette personopplysninger, selv om lovkravene på dette området er tydelige.

Tilgang til personopplysninger

Det ble også stilt spørsmål om hvem som har tilgang til personopplysningene fra disse systemene – et spørsmål som ligger under personopplysningslovens område. I et maktperspektiv handler det om at kunnskap om andre mennesker gir makt, og spørsmålet er hvem som har tilgang til personopplysninger fra disse systemene (Schartum & Bygrave, 2011; Tranvik, 2013).

figur

Figur 3 Hvem har tilgang til personopplysninger registrert i det aktuelle systemet? Prosent. N = 357.

I figur 3 ser vi at nærmeste leder (65 prosent) og toppledelsen (60 prosent) er de som oftest har tilgang til disse opplysningene. 42 prosent oppgir at den enkelte ansatte opplysningen gjelder, har tilgang. Personal-/HR-ansvarlig har tilgang i drøyt en tredjedel av tilfellene, mens en nesten like stor andel oppgir at IT-ansvarlig har tilgang – det gjelder særlig opplysninger fra bruk av ulike IKT-verktøy slik som e-post, internettbruk, telefonsamtaler med mer. 13 prosent svarer at en ekstern systemleverandør har tilgang til opplysningene, mens andelen som svarer at tillitsvalgte har tilgang, er litt lavere – elleve prosent.

Det ble ikke spurt om hvorvidt virksomheten har utarbeidet databehandleravtaler for disse ulike aktørene, men det illustrerer hvordan IT-ansvarlig og eksterne systemleverandører i mange tilfeller har tilgang til en stor mengde opplysninger om enkeltansatte og om hvor, når og hvordan de utfører arbeidet.

Utfordringer for personvern og arbeidsmiljø

Thompson (2003) legger vekt på at kontroll- og overvåkingssystemene i arbeidslivet først og fremst er en del av ledelsens verktøy for å kontrollere arbeidet. Hensikten med slike systemer er ifølge Thompson å sørge for at det oppstår selvdisiplin og sosial kontroll blant arbeidstakerne, noe som bidrar til effektivitet i arbeidet. Arbeidsgivers argumenter om behov for kontroll med virksomheten kan bidra til å legitimere innføringen av ulike kontroll- og overvåkingssystemer (Sewell mfl., 2012). Arbeidsgivers bruk av opplysninger samlet gjennom IKT-baserte kontroll- og styringssystemer ved mistanke om uregelmessigheter hos enkelte ansatte, ble for alvor satt på dagsordenen i Norge i 2010. Årsaken var oppslag i media om en sjåfør i et interkommunalt renovasjonsselskap i Nord-Troms som ble oppsagt fra jobben på grunn av opplysninger registrert i selskapets flåtestyringssystem (et satellittbasert system som automatisk registrerer opplysninger om kjøring med firmabiler). 6 Denne saken er spesiell og endte til slutt i Høyesterett – hvor sjåføren tapte på alle vesentlige punkter. Saken har imidlertid bidratt til å rette oppmerksomhet mot hvilke muligheter data innsamlet ved ulike digitaliserte kontroll- og styringssystemer gir arbeidsgiver når det gjelder å kontrollere enkeltansatte ved mistanke om uregelmessigheter. 7 I kvalitative undersøkelser blant tillitsvalgte og verneombud har det tidligere vært uttrykt bekymring for at ledelsen skal bruke opplysninger fra disse systemene for å sjekke enkeltansatte, og hevdet at dette i enkelte tilfeller bidrar til å svekke tilliten mellom ansatte og ledelsen (Bråten & Tranvik, 2012; Tranvik, 2013).

I undersøkelsen blant arbeidsgiverne ble det stilt spørsmål om bruk av opplysninger fra det aktuelle systemet. 71 prosent svarte at de aldri har brukt opplysningene fra det aktuelle systemet til å sjekke enkeltansatte ved mistanke om uregelmessigheter. Blant de som har brukt opplysningene til å kontrollere enkeltansatte, er andelen størst blant dem som kontrollerer internettbesøk, og blant dem som har feltteknologier.

Arbeidsgiverne ble også bedt om å vurdere hvordan de ulike systemene bidrar til kontroll med arbeidet og til å øke ansattes sikkerhet i arbeidet. 59 prosent av de spurte var helt eller delvis enig i påstanden om at systemet gir bedre kontroll med arbeidet, mens 63 prosent var helt eller delvis enig i påstanden om at systemet bidrar til å øke ansattes sikkerhet i arbeidet.

Arbeidsgiverne i undersøkelsen har i liten grad opplevd å få henvendelser fra ansatte om negative opplevelser av å bli kontrollert i arbeidet som følge av disse systemene. De som har elektronisk registrering av utført arbeid, og de som har feltteknologier, har imidlertid opplevd negativ tilbakemelding fra ansatte oftere enn de som har noen av de andre systemene.

Det må understrekes at ulike kontroll- og styringssystemer gir ulik inngripen i personvernet og utfordringer for arbeidsorganisering og arbeidsmiljø. Blant de systemene det ble stilt spørsmål om i undersøkelsen, er feltteknologier det mest omfattende hva gjelder potensialet for kontroll og overvåking av ansatte (Tranvik, 2013).

Undersøkelsen blant arbeidsgiverne antyder at det er ved bruk av feltteknologier man bruker opplysninger for å sjekke ansatte ved mistanke om uregelmessigheter, det er her kunder eller klienter får tilgang til opplysninger, og det er ved bruk av disse at arbeidsgiverne har opplevd negative tilbakemeldinger fra ansatte på å bli kontrollert. Til tross for nærmest ubegrensede kontrollmuligheter har spørsmålet om arbeidsmiljøkonsekvenser og personvernutfordringer ved slike teknologier fått overraskende lite oppmerksomhet.

Hvilke implikasjoner teknologiseringen og individualiseringen av interne kontroll- og styringssystemer har for ansattes arbeidsmiljø og arbeidsorganisering, griper rett inn i debatten om personvern i arbeidslivet (jf. Borchgrevink, 2011). Nye lovregler med krav om at personvern skal bygges inn i nye løsninger, kan i praksis få betydning både for ansattes personvern og for arbeidsmiljøkonsekvensene av ulike kontroll- og styringssystemer.

Konklusjoner

På bakgrunn av undersøkelsen blant arbeidsgiverne om bruk av digitaliserte kontroll- og styringssystemer – er det grunn til å være optimister eller pessimister på vegne av personvern i arbeidsforholdet? Sett fra arbeidsgivernes ståsted handler spørsmålet om hvordan ansattes personvern ivaretas ved bruk av IKT-baserte kontroll- og styringssystemer, i stor grad om hvilke rutiner virksomheten har for bruk, oppbevaring og lagring av personopplysninger fra de ulike systemene. Det totale omfanget av kontroll- og overvåkingstiltak i virksomheten spiller også en rolle i vurderingen av personvernets vilkår. Arbeidsgiverne svarer stort sett at bruken av det aktuelle systemet har blitt drøftet med tillitsvalgte. I flertallet av virksomhetene er det også utarbeidet retningslinjer eller avtaler for bruk av systemene. Hele ni av ti svarer at ansatte har blitt informert om hvilke opplysninger som samles inn i det aktuelle systemet. Nærmere seks av ti lagrer opplysninger som kan tilbakeføres til enkeltpersoner, og blant disse har 61 prosent rutiner for slette opplysningene etter en bestemt periode. Selv om undersøkelsen viser at en del virksomheter har mangelfulle rutiner når det gjelder hvem som har tilgang til opplysninger, og for sletting av personopplysninger ved bruk av digitale kontroll- og styringssystemer, viser undersøkelsen også at mange virksomheter har rutiner for dette. Det gir grunn til å anta at virksomhetene er godt rustet til å tilpasse seg den delen av de nye personvernreglene som handler om krav til systemer og rutiner. Kravene om at personvern skal bygges inn i nye løsninger, vil imidlertid ofte ligge utenfor kompetanseområdet til de virksomhetene som bruker kontrollteknologiene, og må i større grad overlates til systemutviklerne og leverandørbransjen. I hvilken grad personvernhensyn vil bli vektlagt i utviklingen av nye digitale kontrollteknologier på arbeidslivets område, er et åpent og svært interessant spørsmål. Den utviklingen som har skjedd på dette området de seneste årene, gir imidlertid ikke veldig stor grunn til optimisme når det gjelder prioritering av personvernhensyn.

EUs personvernforordning bidrar til at personvernlovgivningen blir lik i alle EU/EØS-land. Det vil være interessant å se hvordan de ulike landene tilpasser seg det nye regelverket. Ulikheter i dagens regelverk og virksomhetenes ulike praksis på personvernområdet må antas å legge føringer for implementeringen av det nye personvernregelverket på arbeidslivsområdet i Europa. Når det gjelder Norge, vil det særlig være interessant å se hvordan den nye personvernloven vil fungere i samspill med reglene i arbeidsmiljøloven, som vektlegger ansattes medvirkning ved innføring av kontrolltiltak. I undersøkelsen blant arbeidsgivere i fire bransjer er det flere indikasjoner på at arbeidsgiverne ofte ikke definerer kontroll- og styringssystemet som et kontrolltiltak i arbeidsmiljølovens forstand, og derfor heller ikke følger reglene i arbeidsmiljøloven om ansattes rett til medvirkning.

  • 1: Hva som menes med kontrolltiltak, defineres ikke i selve lovteksten eller i forarbeidene til loven. Se Ot. prp. nr. 49, 2004–2005, Om lov om arbeidsmiljø, arbeidstid og stillingsvern mv., kapittel 12 (http://www.regjeringen.no/nb/dep/ad/dok/regpubl/otprp/20042005/otprp-nr-49–2004–2005-.html?id=396602).
  • 2: Dette er de samme som ble stilt i LKU 2013.
  • 3: Feltteknologier er et samlebegrep for en rekke digitale og ofte nettbaserte produkter. Eksempler på dette er: elektronisk kjørebok, flåtestyringssystem, digitale fartsskrivere, mobile forretningsplattformer, systemintegrasjon, sensorteknologi og håndholdte teknologier. Feltteknologier kan registrere en stor mengde data og gi detaljert informasjon om den som utfører arbeidet, samt hvordan, hvor og når arbeidet blir utført. Ulike feltteknologier er nærmere beskrevet i kapittel 2 i Tranvik (2013).
  • 4: Undersøkelsen er nærmere beskrevet i Bråten (2016).
  • 5: Den forhåndsdefinerte listen med begrunnelser varierte for de ulike systemene. Her presenteres et samlet bilde for de seks systemene sett under ett.
  • 6: Se Datatilsynet https://www.datatilsynet.no/regelverk-og-skjema/lover-og-regler/avgjorelser-fra-datatilsynet/andre-avgjorelser-og-vedtak/eldre-vedtak/ulovlig-bruk-av-gps/), Personvernnemnda (https://www.datatilsynet.no/globalassets/global/regelverk-skjema/05_personvernnemda/2011/pvn-2011–04_gpskontroll.pdf), og Avfallsservice-Dommen (RT 2013–143). Se også Borchgrevink, 2011.
  • 7: En tilsvarende sak ble behandlet i Datatilsynet våren 2013, se https://www.datatilsynet.no/globalassets/global/regelverk-skjema/avgjorelser-datatilsynet/2013/12–00571-vedtak-overtredelsesgebyr-gps-retura-sor-trondelag.pdf
  • Borchgrevink, M. (2011). Om avgrensing av arbeidsgivers styringsrett på grunn av arbeidstakers personvern – en gjennomgang av norsk rettspraksis (CompLex 5/2011). Oslo: Senter for rettsinformatikk.
  • Bråten, M. (2008). Personvern under press – hvor går grensene i arbeidslivet? (Fafo-rapport 2008:34). Oslo: Fafo.
  • Bråten, M. (2010). Kontroll og overvåking i arbeidslivet (Fafo-rapport 2010:46). Oslo: Fafo.
  • Bråten, M., & Tranvik, T. (2012). Kontroll med ansatte utenfor fast arbeidssted. Ansattes erfaringer med feltteknologi (Fafo-rapport 2012:50). Oslo: Fafo.
  • Bråten, M. (2016). Digital kontroll og overvåking av arbeid. Omfang og praksis (Fafo-rapport 2016:5). Oslo: Fafo.
  • Christl, W., & Spikermann, S. (2016). Networks of Control. A Report on Corporate Surveillance, Digital Tracking, Big Data & Privacy. Wien: Facultas.
  • Cormack, A. (2016). Incident Response. Protecting Individual Rights under the General Data Protection Regulation. Script, 13(3), 258–282.
  • European Parliamentary Technology Assessment (EPTA). (2016). The Furure of Labour in the Digital Era. Ubiquitous Computing, Virtual Platforms, and Real-time Production. Vienna: EPTA.
  • Kjølaas, C. (2010). Personvern i arbeidsforhold. Oslo: Universitetsforlaget.
  • NOU 1997:19 (1997). Et bedre personvern – forslag til lov om behandling av personopplysninger. Oslo: Justis- og beredskapsdepartementet.
  • NOU 2009:1 (2009). Individ og integritet. Personvern i det digitale samfunnet. (Personvernkommisjonen). Oslo: Fornyings- og administrasjonsdepartementet.
  • Ravlum, I.-A. (2005). Behandling av personopplysninger i norske virksomheter. En spørreundersøkelse om personvern og personopplysningsloven (TØI-rapport 800/2005). Oslo: Transportøkonomisk institutt.
  • Rosengren, C., & Ottosson, M. (2016). Employee Monitoring in a Digital Context. I J. Daniels, K. Gregory & T. McMillan Cotton (red.), Digital Sociologies (s. 181–194). Bristol: Polity Press.
  • Schartum, D.W., & Bygrave, L. (2011). Personvern i informasjonssamfunnet. En innføring i vern av personopplysninger. Bergen: Fagbokforlaget.
  • Sewell, G., Barker, J.R., & Nyberg, D. (2012). Working under Intensive Surveillance. When Does ‘Measuring Everything That Moves’ Become Intolerable? Human Relations, 65(2), 189–215.
  • Thompson, P. (2003). Fantasy Island: A Labour Process Critique of the «Age of Surveillance». Surveillance & Society, 1(2), 138–151.
  • Tranvik, T. (2013). Det gjennomsiktige arbeidslivet. Erfaringer med feltteknologi i utvalgte yrker (CompLex 2/2013). Oslo: Senter for rettsinformatikk.
  • Tranvik, T., & Bråten, M. (2015). Den gjennomsiktige virksomheten. Konsekvenser av elektronisk styring og kontroll i arbeidslivet. Tidsskrift for samfunnsforskning, 56(4), 419–448.
  • Weber, R. H. (2015). Internet of Things: Privacy Issues Revisited. Computer Law and Security Review. 31 (5), 618-627.

© Econas Informasjonsservice AS, Rosenkrantz' gate 22 Postboks 1869 Vika N-0124 OSLO
E-post: post@econa.no.  Telefon: 22 82 80 00.  Org. nr 937 747 187. ISSN 1500-0788.

RSS