NETTARKIV

Logging med fallgruver

18. juni 2002 - 16:03

Logging innbærer registrering og bruk av personopplysninger. Slike opplysninger kan være nyttige i mange sammenhenger. Brukes for eksempel e-post til private formål, og bruker medarbeidere mer tid til å sjekke aksjekurser på internett enn til å løse pålagte oppgaver?

All behandling av personopplysninger reguleres av personopplysningsloven, som trådte i kraft 1. januar 2001. Med behandling menes enhver formålsrettet bruk av personopplysninger. Hovedregel er at all behandling skal skje etter samtykke fra den registrerte (personopplysningslovens § 8), men det fins unntak. For å vurdere om arbeidsgiver må innhente samtykke for logging av medarbeidernes IT-bruk, er det nødvendig å definere hva loggene skal brukes til. Dette illustreres i det følgende.

Sikkerhet

Med sikkerhet i denne sammenheng menes logging med formål å avdekke/oppklare av sikkerhetsbrudd. Virksomheter som behandler personopplysninger, er pålagt (i personopplysningsforskriften §§ 2-8, 2-14 og 2-16) å registrere bruk og (forsøk på) misbruk av informasjonssystemet. Opplysninger i loggene skal lagres i minimum tre måneder. Formålet med denne behandlingen skal være å avdekke/oppklare sikkerhetsbrudd som kan få følger for den enkeltes personvern. Loggene er viktige verktøy i avviksbehandlingen.

Hjemmel for behandlingen gis etter avveining av medarbeidernes behov for personvern i forhold til arbeidsgivers behov for å etablere sikkerhetstiltak (personopplysningsloven 8 f). Slik avveining vil normalt vise at arbeidsgiverens behov veier tyngst. Alternativt kan hjemmel gis ved å henvise til at arbeidsgiver må logge for å oppfylle en rettslig forpliktelse (kravene om registrering av bruk/misbruk i personopplysningsforskriften).

Konklusjonen blir at det ikke er nødvendig for arbeidsgiver å innhente samtykke for logging for å avdekke/oppklare sikkerhetsbrudd. Det er viktig å understreke at opplysningene i loggene ikke kan benyttes til andre formål. Logging med formål å avdekke/oppklare sikkerhetsbrudd er fritatt for meldeplikt.

Administrasjon

Logging med formål å administrere informasjonssystemet, eksempelvis overvåking av lagrings- eller kommunikasjonskapasitet, er ikke pålagt i personopplysningsforskriften. Hjemmel for behandlingen gis etter den samme avveining av medarbeiderens behov for personvern mot arbeidsgivers behov for logging. Også her vil slik avveining normalt vise at arbeidsgiverens behov veier tyngst. Dermed blir også konklusjonen den samme:

Det er ikke nødvendig for arbeidsgiver å hente inn samtykke for logging med formål å administrere informasjonssystemet. Logging for administrasjon av informasjonssystemet er også fritatt fra meldeplikt.

Andre formål

Behov for/ønsker om å benytte IT-logger til andre formål enn sikkerhet/administrasjon fremkommer hele tiden. Opplysningene ligger der og det kan være fristende å sjekke for eksempel hvor effektive de ansatte er og om de har brukt arbeidstiden til å planlegge konkurrerende virksomhet.

I slike tilfeller må det konkrete formålet med loggingen defineres. Hjemmel knyttet til dette formålet finner en i personopplysningslovens § 8, hvor hovedregelen er samtykke. Den samme interesseavveining som beskrevet over kan gjennomføres. Datatilsynet har lagt til grunn at logging med formål å overvåke medarbeiderne, forutsetter samtykke fra den enkelte. Dette er blant annet begrunnet i at informasjonskvaliteten kan være dårlig, at beslutninger som fattes med utgangspunkt i loggene (disiplinærtiltak, oppsigelse, avskjed) er betydningsfulle, og at de ansatte i utgangspunktet forventer diskresjon rundt egen IT-bruk. Slik hensyn oppveies ikke av arbeidsgiverens behov for effektivitets- eller sømmelighetskontroll av sine ansatte. Konklusjonen er altså at logging med formål å overvåke medarbeiderne forutsetter samtykke fra den enkelte.

Logging med andre formål enn sikkerhet/administrasjon er ikke fritatt for meldeplikt.

Andre plikter/rettigheter

Ved all behandling av personopplysninger har den registrerte krav på informasjon om hvilke opplysninger som behandles og hva opplysningene skal benyttes til. Dette gjelder uavhengig av om behandlingen baseres på samtykke eller ikke.

Logger kan utleveres til politiet for oppklaring av straffbare forhold, forutsatt at slik utlevering er pålagt i lov, eller at politiet har rettens kjennelse til innsyn i loggene. Skal loggene benyttes til andre formål enn sikkerhet/administrasjon eller det medarbeideren har samtykket i - eksempelvis undersøkelser av brudd på lojalitetsplikten - må en ny interesseavveining gjennomføres. En slik avveining vil normalt resultere i et krav om samtykke.

I de tilfeller dette spørsmålet har dukket opp i rettssaker, synes domstolene å mene at arbeidsgiver har større mulighet til å bruke opplysningene enn det standpunkt Datatilsynet synes å ha. Men også her er det unntak: Rettspraksis ved bruk av videoopptak er meget restriktiv. Det er uklart hvorfor bruk av logger og bruk av videoopptak behandles så ulikt av domstolene.

Datatilsynet har lagt til grunn at logging med formål å overvåke medarbeiderne, forutsetter samtykke fra den enkelte.

Kronikkforfatteren JØRN ARNESEN er Manager i Deloitte & Touches avdeling Enterprise Risk Services, der han leder selskapets sikkerhetstjenester i Norge og Sverige.
Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.