Personvern kan enkelt beskrives som retten til et privatliv og retten til å bestemme over egne personopplysninger. I en jobb som IKT-servicemedarbeider må du vite hvilke lover og regler som gjelder for personvern, fordi du kan komme i situasjoner der det er du som skal registrere, behandle eller ta vare på andres personopplysninger.
Det er flere lover som gjelder personvern. Den viktigste er personopplysningsloven, men noen yrkesgrupper har også egne lover og regler som må følges, som for eksempel helseregisterloven og regler om taushetsplikt. Utgangspunktet for personvern er at alle har rett til et privatliv og rett til å bestemme hva andre skal kunne vite om deg og dine personlige forhold. Men personvernet har også grenser. Noen ganger er samfunnets interesser viktigere enn det enkelte menneskets rett til personvern.
Som privatperson bør du selvsagt vite hvilke rettigheter du har, og hvordan personopplysninger om deg behandles. Og som IKT-servicemedarbeider må du vite hvilke lover og regler som gjelder for registrering og behandling av personopplysninger, slik at du ikke bryter andre menneskers rettigheter.
Det betyr at du må vitehvilke personopplysninger det er lov å registrerehvem som har lov til å registrere personopplysninger, hvem som skal ha tilgang til personopplysninger hvordan personopplysninger skal lagres og beskytte hvilken rett en person har til å få vite hva som er registrert hvilken rett en person har til å få endret eller slettet personopplysninger.
I en jobb som IKT-servicemedarbeider må du vite hvilke lover og regler som gjelder for personvern, fordi du kan komme i situasjoner der det er du som skal registrere, behandle eller ta vare på andres personopplysninger.
Lenker:Samtykke betyr ganske enkelt at du skal være enig i og gi tillatelse til at personinformasjon om deg kan registreres. Samtykke skal i størst mulig grad være frivillig, uttrykkelig og informert.
At samtykket skal være informert, betyr at du har forstått hva det er du gir tillatelse til, og hvilke konsekvenser det eventuelt får for deg.
At samtykket er frivillig, betyr at du ikke skal bli presset til å gi tillatelsen.
At samtykket skal være uttrykkelig, betyr at du må gjøre noe aktivt for å gi tillatelse. For eksempel ved å sende inn en svarslipp, krysse av på et skjema eller svare positivt på et spørsmål.
Proporsjonalitet betyr at informasjonen ikke skal brukes til noe annet enn det den ble samlet inn for, eller på en måte som går ut over den som er registrert.
Formålsbestemthet betyr at det må være en grunn til at personopplysningene samles inn.
Relevans betyr at personopplysninger bare skal registreres når det er absolutt nødvendig, og minimalitet betyr at det bare er den informasjonen som er nødvendig, som skal registreres. Hvis det ikke lenger er bruk for informasjonen, skal den slettes.
Fullstendighet og kvalitet betyr at personopplysningene skal være fullstendige, riktige og oppdaterte.
Informasjon betyr at du skal bli informert når noen registrerer personinformasjon om deg, og at du skal vite hva personopplysningene brukes til. Innsyn betyr at du har rett til å se hva som er registrert om deg, og få mulighet til å rette feil eller slette gale opplysninger.
Informasjonssikkerhet betyr at de som oppbevarer personopplysningene, må sørge for at opplysningene ikke blir ødelagt, og at ingen uvedkommende får tilgang til dem.
Sensitive opplysninger er personopplysninger som er svært personlige, eller som lett kan misbrukes. Som sensitive opplysninger regnes etnisk opphav, politiske meninger, religiøs overbevisning, medlemskap i fagforeninger, opplysninger om helse eller seksualliv, og om man har vært mistenkt, siktet eller straffet for et lovbrudd. For registrering av slike opplysninger gjelder spesielt strenge regler, og i utgangspunktet er det ikke lov til å registrere dem i det hele tatt.
Anonymitet innebærer at hvis det ikke er nødvendig å kunne identifisere den som har gitt opplysninger, har man rett til å være anonym. Når for eksempel et firma eller et meningsmålingsbyrå gjennomfører en spørreundersøkelse, skal de bare registrere svarene på spørsmålene, og ikke hvem som har svart på undersøkelse
Personopplysningsloven er den viktigste loven om personvern i Norge. I den står reglene for hva det er lov til å registrere om privatpersoner, og hvordan personopplysninger skal behandles.
Datamaskiner brukes til registrering og lagring av alle typer opplysninger, og personopplysninger blir rutinemessig registrert i mange offentlige og private dataregister.
Myndighetene registrerer for eksempel alle innbyggere i Norge i folkeregisteret. Hvis du har inntekt, er du registrert i skatteregisteret. Hvis du tar opp studielån, blir du registrert hos Lånekassen. Når du tar førerkort og kjøper en bil, blir du registrert i førerkortregisteret og kjøretøyregisteret. Alle trygdede er registrert i trygderegisteret, og så videre.
Hver eneste norske borger blir utstyrt med hvert sitt registreringsnummer. Personnummersystemet ble i sin tid utarbeidet av Statistisk Sentralbyrå og innført fra 1. januar 1967.
Også bedrifter og ulike institusjoner har personregister. Banker, forsikringsselskap, foreninger, skoler, arbeidsgivere, politiske partier eller trossamfunn man er medlem av, registrerer informasjon om sine kunder, ansatte og medlemmer. I tillegg kommer selvsagt alle register som benyttes i markedsførings- og reklamesammenheng.
For å forhindre at registrert informasjon om privatpersoner blir misbrukt, eller at det registreres informasjon som er feil eller svært personlig, har Stortinget vedtatt lov om behandling av personopplysninger. Vanligvis blir den bare kalt personopplysningsloven.
Personopplysningsloven er den viktigste loven om personvern i Norge. I den står reglene for hva det er lov til å registrere, og hvordan personopplysninger skal behandles. Loven gjelder for både bedrifter og offentlig sektor, men ikke for opplysninger som privatpersoner registrerer for personlige eller private formål.
I tillegg til personopplysningsloven er det også laget en forskrift til loven kalt personopplysningsforskriften. Mens loven slår fast prinsippene for hva som er lov, og hva som ikke er lov, forklarer forskriften hvordan reglene skal gjennomføres i praksis.
Det finnes flere lover og regler som IKT-medarbeidere må være oppmerksomme på. Selv om du bør forvente at en arbeidsgiver vet hvilke lover som gjelder for IT-systemer på en arbeidsplass, er det slett ikke alltid tilfelle at vedkommende gjør det. Du må derfor ha et bevisst forhold til hva de systemene du har ansvaret for brukes til, hvilken informasjon som lagres, og hvem som har tilgang til informasjonen.
Personopplysningsloven er den viktigste loven om personvern i Norge. I den står reglene for hva det er lov til å registrere om privatpersoner, og hvordan personopplysninger skal behandles.
Datatilsynets oppgave er å overvåke at personopplysningsloven overholdes.
For å passe på at personopplysningsloven overholdes, har myndighetene opprettet et eget uavhengig tilsyn kalt Datatilsynet.
Fordelene med at Datatilsynet er uavhengig, er at heller ikke regjeringen, departementene eller politikere kan styre eller gjøre om de beslutningene Datatilsynet tar. Dermed kan Datatilsynet også passe på at heller ikke myndighetene registrerer personopplysninger de ikke har lov til å registrere.
Datatilsynets oppgaver er:Datatilsynet er et uavhengig tilsyn som skal overvåke at personopplysningsloven overholdes. Ingen kan styre eller overprøve de beslutningene Datatilsynet tar.
Datatilsynet og SlettMeg.no jobber aktivt med saker der bilder har blitt publisert på Facebook eller lignende, uten at den som er på bildet, har samtykt.
Et viktig prinsipp i personopplysningsloven kalles innsynsretten. Innsynsretten betyr at alle har rett til å få vite hvilke personopplysninger som er registrert om dem, hvorfor opplysningene er registrert, og hva de brukes til.
Innsynsretten er enkeltpersoners rett til å få vite hva som er registrert om dem i personregister. I praksis betyr det at alle har krav på å få en utskrift av de opplysningene som er registrert om dem, når de ber om det. Denne retten gjelder overfor alle typer virksomheter, organisasjoner og offentlige institusjoner.
Når den som eier registeret, får en henvendelse om innsyn, må han levere opplysningene senest innen 30 dager. Registereieren har heller ikke lov til å ta betalt av den som ber om innsyn.
Hvis det viser seg at registeret inneholder personopplysninger som er uriktige, ufullstendige, foreldede eller ulovlige å registrere (for eksempel sensitive opplysninger) må den som eier registeret, rette eller slette det som er feil.
For rene adresseregister som brukes til for eksempel reklameutsendinger, kan du kreve å få navnet ditt slettet fra registeret. Firmaet som eier registeret, må da gjøre det så snart som mulig.
Det finnes imidlertid enkelte unntak fra innsynsretten. Den gjelder ikke for register som bare brukes til statistikk, forskning eller generelle planleggingsformål. Et godt eksempel er Statistisk sentralbyrås register.
Statistisk sentralbyrå (SSB) har lov til å registrere opplysninger som skal brukes til forskning på og planlegging av norske samfunnsforhold. SSB publiserer resultatene av arbeidet sitt og formidler det blant annet til politikere og allmennheten.
Det er også unntak for opplysninger som det kan ha alvorlige konsekvenser for en persons helse, eller for personer som står en nær, å få tilgang til. I praksis vil dette vanligvis gjelde opplysninger som kan føre til at en helsesituasjon forverres, eller at det kan være fare for selvmord.
Et annet eksempel er politiets register, der det kan finnes informasjon om hvem som har gitt politiet informasjon om en forbrytelse.
Til slutt er det gjort unntak for register som inneholder informasjon som gjelder rikets sikkerhet. Overvåkingspolitiets register og militære register er eksempler på slike.
Når den som eier registeret, får en henvendelse om innsyn, må han eller hun levere opplysningene senest innen 30 dager. Registereieren har heller ikke lov til å ta betalt av den som ber om innsyn.
Registrering av personopplysninger som ikke er sensitive, må meldes til Datatilsynet. Men det finnes mange unntak.
Når en virksomhet ønsker å registrere og bruke personopplysninger som ikke er sensitive, må de si fra til Datatilsynet senest 30 dager i forveien.
Meldingen er bare en informasjon til Datatilsynet. Så lenge man overholder personregisterloven, kreves det ikke noen egen tillatelse for å opprette et personregister, men Datatilsynet skal vite om det. På Datatilsynets nettsider ligger det et eget skjema som skal brukes.
Legg spesielt merke til at skjemaet inneholder en egen del med kontaktopplysninger for den personen som er behandlingsansvarlig. Behandlingsansvarlig er den personen som skal ha ansvaret for at personopplysningsloven overholdes.
Selv om hovedregelen er at alle personregister skal meldes inn til Datatilsynet, finnes det en del unntak for vanlige registre. Kunde- og leverandørregister, abonnementsregister, medlemsregister i foreninger og lignende er ikke meldepliktige.
Et viktig unntak for IKT-servicemedarbeidere er aktivitetslogger i datasystemer og nettverk. For å kunne administrere og sørge for sikkerhet i et nettverk, er det ofte behov for å logge informasjon om bruk og trafikk som kan spores tilbake til enkeltpersoner. Men den informasjonen som samles inn, skal bare brukes til administrasjon og sikkerhetstiltak.
Den som skal registrere sensitive personopplysninger, må ha en egen tillatelse fra Datatilsynet.
For å opprette og bruke et personregister som inneholder sensitive opplysninger, må man først få tillatelse fra Datatilsynet. En slik tillatelse kalles en konsesjon.
Sensitive personopplysninger er opplysninger om:På Datatilsynets nettsider ligger det et eget skjema som skal brukes for å søke om konsesjon.
Datatilsynet har rett til å kontrollere at konsesjonen overholdes, og kan kreve å få adgang til alle personregister og datamaskiner som brukes til disse. De kan også gjennomføre kontroll der de mener det er nødvendig. Denne retten er ikke begrenset av bestemmelser om taushetsplikt, som noen yrkesgrupper er underlagt.
Lenke: KonsesjonsskjemaDatalagringsdirektivet trådte i kraft den 1. juli 2012 og påbyr tele- og internettleverandører å lagre alle trafikkdata.
Datalagringsdirektivet (DLD) er et EU-direktiv som påbyr alle tele- og internettleverandører i Norge å lagre trafikkdata, lokaliseringsdata og abonnementsdata i 6 måneder for alle som bruker telefon, mobiltelefon, e-post og Internett.
Det vil si opplysninger om hvem som kommuniserer med hvem, når kommunikasjonen fant sted, hvor de kommuniserende befant seg, og hvilken kommunikasjonsform som ble benyttet.
Hensikten er at politiet skal ha tilgang til disse opplysningene ved etterforskning og straffeforfølging av alvorlig kriminalitet.
Datasystemer og nettverk gir arbeidsgivere mulighet til å overvåke ansattes bruk av virksomhetens datamaskiner, men det er regler for hva det er lov til å overvåke, og hvordan det skal gjøres.
De fleste datasystemer har mulighet for automatiske loggfunksjoner, og det er ofte nødvendig av sikkerhetshensyn.
Det er derfor lov til å registrere hvem som har forsøkt å logge seg på, og om det ble godtatt eller ikke. Det er også vanlig å logge hvem som til enhver tid bruker ulike filer og program, internettaktivitet og utskrifter.
Slike logger kan brukes til systemadministrasjon og sikkerhet, men hvis virksomheten vil bruke informasjonen til noe annet, må den først få samtykke fra de ansatte.
De fleste virksomheter har regler for hva det er lov til å bruke virksomhetens datamaskiner og nettverk til. For eksempel at det ikke er lov til å laste ned musikk eller filmer, installere program, surfe på bestemte typer nettsider eller bruke maskinen til private formål.
Arbeidsgiver kan overvåke at reglene ikke brytes, men overvåkingen skal skje på gruppenivå og ikke på personnivå. Det vil si at arbeidsgiver skal kunne få se om reglene brytes, men ikke hvem som bryter dem.
Arbeidsgiveren skal så gi de ansatte beskjed om at det vil bli kontrollert hvem som bryter reglene, hvis aktiviteten ikke opphører innen en gitt frist. Hvis regelbruddene fortsetter, kan arbeidsgiver bruke loggene til å finne ut hvem som står bak, uten samtykke fra de ansatte.
Arbeidsgiveren kan ikke uten videre kartlegge hvor mye tid hver enkelt ansatt bruker på Internett, eller hvilke internettsider som blir besøkt. Loggene kan for eksempel ikke benyttes til overvåking av de ansatte til bruk ved oppsigelser. Slik bruk av loggopplysninger skal meldes til Datatilsynet.
Kan arbeidsgiveren overvåke det arbeidstakeren gjør på Internett?De fleste ansatte i en virksomhet disponerer en egen datamaskin og har en egen e-postadresse på jobben. Det skaper problemer når arbeidsgiveren har behov for tilgang til data som ligger på maskinen, eller e-post som er sendt til den ansattes e-postadresse.
De fleste arbeidsgivere synes det er greit at de ansatte kan bruke virksomhetens datamaskiner til enkelte private gjøremål. De fleste benytter derfor maskinen til både jobbrelaterte og private gjøremål.
Noen ganger oppstår det situasjoner der arbeidsgiver ønsker å kontrollere hva den ansatte bruker datamaskinen til, eller har behov for tilgang til informasjon som ligger på maskinen eller den ansattes e-postkonto.
Eksempler kan være når:For å unngå juridiske og etiske problemer må bedriften ha klare regler for bruk av datamaskiner og e-post til private formål på arbeidsplassen. Videre må man forsikre seg om at de ansatte er gjort kjent med reglene. Reglene må også si noe om i hvilke situasjoner de ansatte må akseptere at arbeidsgiveren kan åpne e-postmeldinger eller filer som ligger på den enkeltes område på en arbeidsstasjon eller server.
Arbeidsgiverens rett til innsyn i de ansattes e-post på jobben kan til en viss grad sammenlignes med arbeidsgiverens gjennomgang av innholdet i posthyllene til de ansatte. Det vil finnes situasjoner der arbeidsgiveren har en saklig grunn for å gå gjennom posthyllen for å se etter post som angår bedriften. For eksempel når ansatte er fraværende over lengre tid på grunn av ferie eller sykdom.
Det samme gjelder for den ansattes e-postkasse. E-postkasser skiller seg imidlertid fra vanlige posthyller ved at det er vanskeligere å skille private meldinger fra de som gjelder jobben. Arbeidsgiveren bør derfor be om samtykke til å se i e-postkassa før den ansatte drar på ferie eller mens vedkommende er sykemeldt.
Et annet problem er at det i mange e-postlesere ofte benyttes automatisk forhåndsvisning. Dermed kan arbeidsgiveren uforskyldt lett komme til å se mer informasjon enn det han i utgangspunktet har behov for eller rett til.
Bedriften kan lage regler som sier at datamaskiner bare skal brukes til jobbrelaterte formål, men arbeidsgiver har likevel ikke lov til å lese all e-post de ansatte mottar. Grunnen til dette er at de ansatte ikke har noen mulighet til å styre hva som sendes til deres e-postkontoer på jobben.
Innholdet av meldinger som for eksempel sendes av venner eller familie, vil fortsatt være private, selv om de sendes til en e-postkonto som tilhører bedriften. Som hovedregel har ikke arbeidsgiveren rett til innsyn i åpenbart private e-postmeldinger eller filer, og han har heller ikke lov til å be om samtykke til slikt innsyn eller lage regler om dette.
Hvis virksomheten ikke ønsker at de ansatte skal motta privat post på bedriftens e-postkontoer, kan man lage regler som sier at alle slike meldinger skal slettes. Dette er imidlertid sjelden praktisk siden det ofte vil innebære at all innkommende e-post til bedriften må gjennomgås manuelt.
I tillegg tilsier vanlig høflighet at både mottaker og avsender får beskjed hvis en e-postmelding blir slettet. Det største problemet er imidlertid som oftest å avgjøre om en e-post eller en fil er privat eller virksomhetsrelatert, uten å åpne den.
De fleste bedrifter benytter e-postadresser som angir den ansattes navn, initialer eller lignende i adressen, slik som ola.nordmann@bedrift.no eller on@bedrift.no. Dersom den ansatte logger seg på med eget brukernavn og passord, bør han kunne forvente at post til denne e-postkontoen ikke åpnes av andre enn han selv, med mindre annet er avtalt med arbeidsgiver på forhånd.
E-postadresser av typen henvendelse@bedriften.no eller salgsavdelingen@bedriften.no framstår som klart virksomhetsrelatert. Verken avsender eller mottaker av e-post til en slik adresse vil kunne forvente at den skal behandles som privat post. Dette kan imidlertid være mer tvilsomt hvis avsenderen har merket e-posten med en navngitt ansatt eller har skrevet «konfidensielt» eller lignende i emnefeltet. I slike tilfeller anbefaler Datatilsynet å spørre den ansatte før andre eventuelt åpner den.
En mulig løsning på problemene med å skille ut privat e-post er å la de ansatte ha to e-postadresser. For eksempel ola.nordmann@bedriften.no og ola.nordmann.privat@bedriften.no. Rutiner for å merke private e-postmeldinger og filer med «privat», eventuelt plassere disse i egne mapper, vil også kunne hjelpe. Men det er ikke noen garanti for at det ikke oppstår problemer.