– Slurver med sletting av personopplysninger
Datatilsynet har avdekket en rekke brudd på krav om sletting av personopplysninger blant norske virksomheter. Nå etterlyser Bjørn Erik Thon en kritisk debatt om personvernet i arbeidslivet.
– Et grunnleggende prinsipp i personvernregelverket er at personopplysninger ikke skal lagres lenger enn nødvendig for å gjennomføre formålet med behandlingen. Når formålet er oppfylt skal opplysningene slettes, sier direktør i Datatilsynet Bjørn Erik Thon.
«Det finnes store mengder opplysninger i arbeidslivet som er egnet til regelrett overvåking av de ansatte» Det skriver Bjørn Erik Thon i sitt innlegg som gjesteskribent i kommende utgave av Personal og Ledelse.
– Den teknologiske utviklingen har ført til at informasjon om ansatte i mange tilfeller beholdes på ubestemt tid, og kun slettes når praktiske hensyn tilsier det, utdyper han og viser til Datatilsynets ferske rapport En vanlig dag på jobben.
Gjenbruk til nye formål
Et annet problem i arbeidslivet er flere virksomheter benytter lagret informasjon til gjenbruk i forbindelse med nye formål. Det skaper personvernutfordringer presiserer Thon.
– Hvis en bedrift, eksempelvis innen transportbransjen, ønsker å optimalisere en kjørerute vil informasjonen lagres i elektroniske kjørebøker. Disse dataene ser vi også blir brukt til å kontrollere ansattes arbeidstid, pauser og lignende.
Thon nevner et avfallshåndteringsselskap som hadde mistanke om at enkelte ansatte tok seg lange pauser. De innsamlede dataene ble til sist benyttet som bevis i en arbeidsrettssak.
Er det lov?
– Både ja og nei. I retten er det slik at du kan bruke de bevisene du har for hånden, i dette tilfellet selv om det var i strid med personvernloven. Det ble nevnt at det var ulovlig, men når det likevel forelå som et bevis, kunne ikke retten se bort i fra dette.
Mer kostbart å slette
Lagring av data har blitt langt rimeligere enn tidligere. Det fører til at det ofte er mer ressurskrevende for virksomheten å etablere tilfredsstillende sletterutiner. Thon har ingen konkrete tall på hvor mange virksomheter som lagrer informasjon for lenge, men sier at det ofte er en gjenganger.
– Vi får kun tatt fem-seks tilsyn innenfor arbeidslivet hvert år, dermed blir det kun tatt stikkprøver.
På bakgrunn av Datatilsynets funn så langt er det derfor rimelig grunn til å tro at alt for mange virksomheter slurver med sletting av informasjon og elektroniske spor.
Ansatte skal varsles
Datatilsynet har i sin ferske rapport også kommet frem til at virksomhetene ikke er gode nok til å informere om nye og eksisterende kontrolltiltak. For å unngå konflikt med lovverket anbefaler Thon at virksomhetene tar de tillitsvalgte og ansatte med i dette arbeidet.
– Virksomhetene bør bli flinkere til å lage gode prosesser rundt innføring av nye kontrolltiltak. Drøft løsningene med tillitsvalgte og informer ansatte. Etter en periode i drift skal man evaluere ordningen for å sikre at den fungerer i tråd med intensjonen, sier Bjørn Erik Thon.
– Hele samfunnet går i retning av økt digitalisering og store datamengder lagres i nettskyen. Det er ikke nødvendigvis slik at problemene rundt innføring av kontrolltiltak skyldes ond vilje. Det har blitt rimeligere og enklere å samle inn data. I tillegg kan man med små tilleggsfunksjoner enkelt bruke disse dataene til nye formål. Mange systemene mangler dessuten en automatikk for sletting. Det fører til at data lagres lengre enn det som er lovlig og nødvendig. Alt dette tilsammen, er årsaken til at vi ønsker en skikkelig debatt rundt dette, avslutter Bjørn Erik Thon.
I kommende utgave av Personal og Ledelse kan lese hele innlegget til Bjørn Erik Thon.
Les hele raportten: En vanlig dag på jobb.
"
