Den digitale verden har inntatt HR – henger du med?

Det er umulig å ikke legge merke til: Vi lever i en digital verden. Den teknologiske utviklingen innebærer en økning i nye digitale virkemidler som kan brukes i arbeidslivet til å løse arbeidsoppgaver på en potensielt mer kostnadsbesparende, effektiv, fleksibel og ikke minst ny og spennende måte.

Bruk av smarttelefoner og nettbrett, sosiale medier som Facebook, Twitter og LinkedIn, GPS og biometriske data som fingeravtrykk til bruk i autentiseringsløsninger er alle eksempler på slike virkemidler som allerede en stund har vært en del av arbeidsgiveres og arbeidstakeres potensielle virkemidler – og som tas i bruk i stadig større grad. HR må som følge av dette forholde seg til en stadig mer digital hverdag, og mer er i vente. Hvis du er HR-ansvarlig og ikke vet hva Cloud Computing (nettskytjenester) eller BYOD betyr, er det antakeligvis på tide å ta frem iPad’en og google dette, slik at du er forberedt når IT-ansvarlig eller økonomiansvarlig argumenterer for hvor effektivt, fleksibelt og kostnadsbesparende en eventuell innføring av dette vil være i din virksomhet.

HR i førersetet

Den nye digitale arbeidshverdagen for stadig flere virksomheter reiser en rekke utfordringer. Den digitale virkeligheten er ofte i seg selv vanskelig å trenge inn i. Når dette møter jussens virkelighet og virksomhetens behov for å kunne sikre seg mot å komme i ansvar og havne i konflikt med ansatte, tillitsvalgte, leverandører, kunder eller offentlige myndigheter er kompleksiteten komplett. Hvorvidt og på hvilken måte nye digitale arbeidsverktøy bør tas i bruk må søkes løst gjennom et tett samarbeid mellom virksomhetens økonomiansvarlige, IT-ansvarlige, systemeiere, internrevisjon og jurister – og med HR i førersetet med hensyn til strategisk beslutningstakning. Å overlate til IT-ansvarlig, økonomiansvarlige, systemeiere eller jurister alene å ta slike beslutninger ved overgang til nye elektroniske løsninger vil være å fraskrive seg ansvar for en stadig større del av oppgavene knyttet til god personalforvaltning.

Treghet i systemet

En avklaring av de rettslige spørsmålene som reises ved bruk av nye digitale virkemidler i arbeidslivet vil naturlig nok være på plass først en god stund etter at slike virkemidler er ”allemannseie”. Personopplysningsforskriftens regler om arbeidsgivers innsyn i arbeidstakers e-post og digitalt utstyr som er stilt til arbeidstakers disposisjon illustrerer dette. Til tross for at arbeidslivet forholdsvis lenge har benyttet seg av datamaskiner, og e-post som det klart mest foretrukne verktøy for skriftlig kommunikasjon, trådte klare regler om arbeidsgivers rett til innsyn i dette først i kraft den 1. mars 2009. Frem til dette var spørsmålet advokatmat som også endte i rettssystemet.

GPS-dommen om ulovlig gjenbruk

Også på andre områder har det skjedd prinsipielle avklaringer. Den 31. januar 2013 avsa Høyesterett dom i den såkalte ”GPS-saken”. Saken omhandlet et renovasjonsselskap som hadde innført et navigasjonssystem i søppelbilene. Det ble sendt informasjon om hvilke søppeldunker bilen hadde vært ved, til hvilket tidspunkt og hvordan tømmingsoppdraget ble utført til en sentral som skulle benytte informasjonen til administrative formål. Dataene ble imidlertid senere også koblet sammen med timelistene fra ansatte, idet virksomheten fattet mistanke om at minst en av sjåførene hadde krevd for mye overtid. Mistanken ble bekreftet av dataene fra navigasjonssystemet og arbeidstakeren ble sagt opp. Høyesterett fant at arbeidsgivers bruk av dataene fra navigasjonssystemet i oppsigelsessaken var i strid med forbudet i personopplysingsloven § 11 første ledd bokstav c om gjenbruk av personopplysninger til uforenelige formål, så lenge arbeidstakers samtykke til dette ikke var innhentet. Høyesterett tilkjente likevel ikke arbeidstaker erstatning for arbeidsgivers overtredelse og henviste til at Datatilsynet bør gi overtredelsesgebyr i slike saker.

Nettskytjenester (Cloud computing)

Viktige avklaringer har også skjedd i forhold til arbeidsgiveres bruk av nettskytjenester. Den 21. september 2012 sendte Datatilsynet brev til Narvik og Moss kommune om bruk av nettskytjenestene Microsoft Office 365 og Google Apps. Datatilsynet åpnet for bruk av slike tjenester, men uttalte at visse forutsetninger da må være på plass. Det må for det første gjennomføres grundige risiko- og sårbarhetsanalyser i forkant. Selskapet som kjøper nettskytjenester må for det andre ha en tilfredsstillende databehandleravtale som er i tråd med norsk regelverk, sørge for at leverandørens generelle personvernerklæring ikke går utover denne og at kravene i databehandleravtalen følges av leverandøren. For det tredje må bruken av nettskytjenester jevnlig kontrolleres av selskapet som kjøper nettskytjenester, i praksis ved at en tiltrodd tredjepart gjennomfører en sikkerhetsrevisjon på vegne av selskapet og sikrer at databehandleravtalen følges. Et viktig poeng er at selskapet må ha oversikt over i hvilket land dataene blir lagret og sørge for at slik overføring av data til utlandet er i samsvar med personopplysningslovens regler.

Potensielt erstatningsansvar

Det er i dag forbundet med forholdsvis liten økonomisk risiko å ikke ta ordentlig på alvor de personvernrettslige problemstillingene som bruk av nye digitale virkemidler reiser. Dette kan imidlertid bli ganske annerledes i en ikke alt for fjern fremtid. Domstolene kan for det første komme til å tilkjenne erstatning for økonomisk og ikke-økonomisk tap (oppreisning) i en del tilfeller der arbeidsgiver ikke behandler arbeidstakeres personopplysninger i samsvar med personopplysningsloven. Høyesteretts manglende tilkjenning av dette i GPS-saken skyldtes at domstolen fant det støtende å tilkjenne erstatning til en arbeidstaker som hadde brutt sine arbeidsplikter og krevd urettmessig overtidsbetaling. Resultatet vil kunne bli annerledes dersom arbeidstaker er mindre å bebreide, for eksempel dersom en arbeidsgiver ulovlig gjenbruker personopplysninger om de ansattes sykefravær i en nedbemanning eller dersom en kompetanseutviklingskartlegging benyttes som bevis i etterfølgende oppsigelsessak. Et annet eksempel kan være at arbeidsgiver ikke har tatt informasjonssikkerhet og internkontroll på alvor og at digitale personalopplysninger kommer på avveie i forbindelse med et hackerangrep

Overtredelsesgebyr i millionklassen?

En annen utvikling det er viktig å være klar over er at det i EU nå jobbes med et forslag til en ny personvernforordning som skal erstatte personverndirektivet som den norske personvernloven bygger på. Dersom forordningen trer i kraft vil også norske personvernregler endres. I det gjeldende forslaget til personvernforordningen skal tilsynsmyndighetene (i Norge Datatilsynet) ilegge overtredelsesgebyr på opptil 1 million Euro eller 2 prosent av virksomhetens årlige omsetning på verdensbasis ved brudd på personvernforordningens bestemmelser. Hvis forslaget blir til en realitet er det ikke vanskelig å forestille seg at store og mellomstore virksomheter kommer til å ha et betydelig høyere fokus på personvernrettslige problemstillinger i tiden fremover.