Ivaretakelse av personvern for ansatte ved granskning
Granskninger er ”i skuddet” og det har de siste årene vært en økning både i antall granskninger og hvor omfattende den enkelte granskning har vært. Sistnevnte skyldes i stor grad at informasjonsmengden i virksomheter og mellom mennesker øker med nye kommunikasjonsmåter som registrerer informasjon om kommunikasjonen og at man i større grad kommuniserer mer skriftlig. Dette gjør granskninger mer komplisert både ved mengden informasjon som må gjennomgås samt tekniske utfordringer ved å samle inn all relevant informasjon.
Hensikten med en granskning er å fastslå hva som har skjedd og hvem som har vært involvert, samt hvem som hadde kunnskap om forholdet. Handlingene som granskes vil være knyttet være kritikkverdige og/eller straffbare forhold. Videre søker man å avdekke ansvarsforhold, vurdere mulige systemfeil og eventuelt foreslå endringer i system/rutiner. For å skape et korrekt bilde, er det nødvendig at all relevant informasjon gjennomgås. Dette omfatter også informasjon som kan knyttes til enkeltpersoner, altså såkalte personopplysninger.
Siden granskninger skal ideelt sett være grundige og ideelt sett ikke skal hindres av noe i den virksomhet som granskes, vil enkeltpersoners rettigheter ofte komme i konflikt med hensynet til at granskningen må omfatte alle opplysninger i virksomheten. Enkeltpersoners rettigheter er spesielt vernet i arbeidsmiljøloven, straffeloven og personopplysningsloven, og vi skal her se nærmere på hvilke grenser personopplysningsloven (POL) setter for granskninger. Det er kun private granskninger som skal omtales, slik at granskninger regulert av spesiell lovgivning, som flyhavarier og annet, vil ikke bli omtalt.
Vi skal se på hvordan personvernhensynet til ansatte skal ivaretas ved en granskning ved å følge en granskning kronologisk. En granskning starter som regel ved at et forhold avdekkes, ofte ved at en ansatt varsler om forholdet og ledelsen i selskapet bestemmer at det skal undersøkes mer om forholdet. Først må informasjon som kan forringes sikres. Dette er i første rekke elektronisk data. For å sikre data slik at vital informasjon ikke slettes (spesielt ved overskriving av e-post, som er avgjørende informasjon ved granskninger), bør man sørge for at de siste fullstendige sikkerhetskopi (backup) og alle løpende sikkerhetskopier (såkalte inkrementelle sikkerhetskopier) fra siste fullstendige sikkerhetskopi til forholdet avdekkes sikres og ikke overskrives. Dersom det avdekkede forhold ligger tilbake i tid, kan det være aktuelt å sikre eldre sikkerhetskopier i tillegg. Det bør så sendes et varsel til alle ansatte, om at ingen informasjon skal slettes eller overskrives. Sistnevnte ivaretar et viktig prinsipp innenfor personvern, nemlig informasjonsplikten, i tillegg til at det kan medvirke til at viktig informasjon til granskningen bevares. Pålegget om å sikre informasjon bør ta utgangpunkt i selskapets retningslinjer for behandling av e-post og elektroniske data. Har ikke selskapet slikt i retningslinjene, anbefales det at det utarbeides klare retningslinjer for bruk av selskapets datasystem, herunder e-post og lagringsmedier, som hensyntar tiltak ved granskning. I tillegg bør også pålegget omfatte også informasjon lagret på annen måte, som papirdokumenter.
Det er viktig tidlig i granskningsprosessen å kartlegge hvor relevant informasjon vil kunne finnes, hvilket kan gjøres ved foreløpige intervjuer med ansatte. Denne kartleggingen danner utgangspunkt for handlinger videre, som informasjon til ansatte og varsel til Datatilsynet, se nedenfor. Senere, når informasjonen er innsamlet og gjennomgått, kan fullstendige intervjuer gjennomføres med de ansatte.
Når de umiddelbare tiltak er iverksatt, bør Datatilsynet varsles om tiltak som er iverksatt og tenkt iverksatt som vedrører behandling av personopplysninger. Selv om selskapet som granskes tidligere har meldt behandling av personopplysninger til Datatilsynet, vil en granskning som regel medføre en annen behandling enn normalt i virksomheten som må meldes på nytt. ”Personopplysninger” etter POL er all informasjon som kan knyttes til en enkeltperson, og ”behandle” er enhver bruk av personopplysninger. Listen for hva som regnes som ”behandling av personopplysninger” og som krever melding til Datatilsynet er derfor lav, og som regel vil behandling av personopplysninger ved granskning kreve melding til Datatilsynet. At behandlingen av personopplysninger kan først påbegynnes 30 dager etter melding er sendt, er et annet forhold som tilsier at man må varsle Datatilsynet så raskt som mulig. Det er viktig å huske at man også må varsle Datatilsynet ved enhver endring av behandlingen av personopplysninger i løpet av granskningen.
Det kan være greit å merke seg at POL kun omfatter opplysninger som er lagret eller behandles med elektroniske hjelpemidler (mest typisk datamaskiner eller mobiltelefoner). Papirdokumenter kan innsamles og granskes uten melding, dersom disse ikke er organisert etter person (og dermed utgjør et personregister). Dersom man skanner og gjør papirdokumenter søkbare, kan disse også omfattes av POL.
For å behandle personopplysninger kreves det et grunnlag for behandling. POL stiller opp en rekke grunnlag, og som regel vil man – dersom det avdekkede forhold antas å være kritikkverdig nok – ha et grunnlag for behandling. Allikevel anbefales det at man innhenter et skriftlig samtykke fra alle personer som det skal innhentes og behandles opplysninger fra. Dette regnes som et selvstendig grunnlag etter POL, og er tilstrekkelig for behandling av personopplysninger. Et samtykke vil også bidra til at de involverte får informasjon om og blir kjent med granskningsprosessen. Merk at samtykket som gis må være fullstendig frivillig – det må fremgå at man kan nekte samtykke – og at samtykke må dekke all behandling som man regner med granskningen skal omfatte. Den som samtykker må også ha fått all informasjon som er nødvendig for å vite konsekvensene av å gi samtykke. Dersom granskningen senere blir mer omfattende eller omfatter andre måter å behandle personopplysninger, bør nytt og dekkende samtykke innhentes.
Melding til Datatilsynet skal sendes av den som er behandlingsansvarlig, som er den som bestemmer formålet ved med behandlingen av personopplysningene og på hvilken måte dette skal skje. Siden granskninger ofte utføres av en uavhengig tredjepart, vil dette være den som er ansvarlig for meldingen.
Når melding til Datatilsynet og samtykke er på plass, og det er gått 30 dager fra avsendelse av melding, kan innsamling av elektronisk lagret informasjon og gjennomgang påbegynnes. Innsamling av elektronisk informasjon, og spesielt å sikre integriteten til denne, er noe som bør overlates til profesjonelle, og SIMONSEN anbefaler IBAS (www.ibas.no) til dette arbeidet. IBAS har omfattende erfaring med å sikre elektronisk informasjon og ivaretakelse av personopplysninger i denne prosessen. Merk at man plikter å inngå en egen databehandleravtale ved bruk av underleverandør for innsamling og behandling av personopplysninger.
E-post er etter hvert blitt en viktig kilde til informasjon, og siden e-postkontoer til ansatte anses som personlige i Norge, kreves det ekstra varsomhet ved behandling av e-post. Ved en granskning er det behov for å gjennomgå e-posten til ansatte for å avdekke informasjon av relevans for granskningen, men samtidig ivareta hensynet til den ansatte som kan ha privat informasjon i sin e-postkonto. Som nevnt ovenfor, bør det foreligge retningslinjer for bruk av selskapets datasystem som informerer om at arbeidsgiver kan gjennomgå bl.a. den enkeltes e-post i tilfelle granskning, og hvordan slik gjennomgang skal gjennomføres. Normalt bør gjennomgangen av e-post gjennomføres sammen med den ansatte, eller en representant for denne, hvor man skiller ut private e-poster. Virksomhetsrelaterte e-poster tas ut, og blir gjenstand for granskningen videre. Gjennomgås e-posten uten at den ansatte er til stede, bør man søke å avdekke om e-poster er private fra tittelen, og kun åpne e-poster som er virksomhetsrelaterte. Finner man at en åpnet e-post er privat etter denne er åpnet, skal gjennomgangen av denne umiddelbart stanses. Det vil komme ny regler om arbeidsgivers innsyn i ansattes e-post, som også vil få betydning for granskninger, etter nyttår.
Et viktig prinsipp i POL er personers rett til informasjon om behandlingen. Generelle utsendelser av informasjon til flere involverte kan dekke dette behovet. Det bør også kunne gis informasjon om granskningen til den enkelte når samtykke innhentes hvor det informeres om rettighetene POL til bl.a. innsyn i og rett til å kreve retting av opplysninger.
Noe som kan bli oversett ved granskninger er at granskerne har de samme krav til å sørge for å sikre den innsamlede informasjon (informasjonssikkerhetskrav), som selskapet som informasjonen er samlet inn fra. Dette stiller krav til at informasjonen skal sikres på en tilfredsstillende måte, slik at ingen uvedkommende kan få tilgang til informasjonen ved å få innsyn i disse, endre informasjonen eller slette denne. De sikringstiltak som granskerne gjør skal dokumenteres, og denne dokumentasjonen skal være tilgjengelig for de ansatte, Datatilsynet og Personvernnemda.
Personopplysninger som samlet inn eller laget i forbindelse med granskningen må slettes så snart formålet med behandlingen av opplysningene har opphørt. Normalt er dette når det er besluttet å ikke gå videre med resultater av granskningen eller granskningen har vist seg å ikke avdekke kritikkverdige forhold. Det kan også være at deler av opplysningene skal slettes når granskningsrapport foreligger, mens andre må man ta vare på en lenger tid til videre tiltak er avklart. Det er også verdt å merke seg at overføring av personopplysninger over landegrenser kan kreve særskilt samtykke og spesielle tiltak. Dette kan være aktuelt ved selskaper som har virksomhet i flere land.
Overtredelse av POL kan medføre straff og erstatning. Dersom informasjon er innsamlet i strid med POL, kan dette også medføre at informasjonen ikke kan fremlegges som bevis i rettssak. Dette kan ha betydning for erstatningskrav som fremmes. Siden behandling av personopplysninger er så kritisk ved en granskning, bør man dokumentere de aktiviteter og valg som gjøres vedrørende behandling av personopplysninger. Det bør også føres en kronologi hvor aktivitetene nedtegnes fortløpende. Dersom selskapet som granskes har et personvernombud, bør dette være involvert i arbeidet og konfereres i den grad dette ikke går ut over granskningens integritet.
HUSKELISTE
1. Sikre informasjon og data – bevare sikkerhetskopier og sende varsel til ansatte
2. Kartlegge hvor relevant informasjon kan være lagret
3. Melde behandling til Datatilsynet
4. Informere de ansatte
5. Samle inn informasjon
6. Granske informasjon – informere ansatte og Datatilsynet ved endringer i behandlingen av personopplysninger, eventuelt innhente
nye samtykker
7. Dokumentére beslutninger og aktiviteter og nedtegn kronologi
8. Slette informasjon etter granskningen er gjennomført