Personvern og sosiale medier på arbeidsplassen

27. oktober 2012

Eva I. E. Jarbekk

Eva Jarbekk

11. oktober 2011

• Advokat og assosiert partner i Kluge Advokatfirma DA• Partner i FAKTUM NoR AS

• Tverrfaglig granskning/internrevisjon, varslingstjeneste, informasjonssikkerhet og personvern

• Leder av Personvernnemnda

• Leder av Advokatforeningens lovutvalg for IKT- og personvern• Advokat, spesialenheten for politisaker

• Litt om personvern og rettslige rammer for bruk av sosiale medier

• Om sosiale medier

• Om habilitet og definisjonsmakt

• Kontroll av arbeidstaker

• Grenser for arbeidstakeres ytringsfrihet – behovet for retningslinjer

• Utforming av retningslinjer

11. oktober 20113

Dagens temaer

Personvern og rettslige rammer for bruk av sosiale medier

• Sikre forsvarlig bruk av personopplysninger• Hver enkelts personvern og kontroll med opplysninger• Forventninger om diskresjon og passord øker forventingen

• Liten faktisk kunnskap hos brukerne om hva som kan gjenfinnes• Logg av internett-bruk, sosiale medier• Sletting av e-post, status-felt• Øker problemet

• Bruken av reglene skal balansere effektiv informasjonsbehandling og hensynet til individene

• Personvern er dels teknisk personvern og dels avhengig av menneskelige vurderinger

11. oktober 20115

Hvorfor personvern?

• Personopplysningsloven • EU-basert

• Forskrifter• Datatilsynets praksis • Personvernnemndas praksis• Noe rettspraksis• Avgjørelser fra statsadvokat og riksadvokat• Nye forskrifter om innsyn i e-post

• Særlovgivning; • helsepersonell • arbeidsmiljølov • politiets registre

• Datatilsynet• Veiledningsplikt• Kontrollerende organ 11. oktober 20116

Rettslig ramme

• Info knyttet direkte/indirekte til individ omfattes av loven

• Ledelsen er ansvarlig

• Ved ekstern delegasjon/outsourcing MÅ ansvaret omtales, jfr. § 15, i en såkalt ”databehandlerklausul”

• Også i cloud-løsninger

11. oktober 20117

Lovens virkeområde og ansvarsforhold

Arbeidsgiver har styringsrett – arbeidsmiljøloven• Kan pålegge å bruke/ikke bruke sosiale medier i arbeidstid

Konkret vurdering: • arbeidsoppgaver • stilling• behovet for at den ansatte deltar i elektronisk kommunikasjon • risiko

Anbefaling: Jobbrelatert opptreden i nettmedier løses best i en dialog mellom arbeidsgiver og arbeidstaker

11. oktober 20118

Arbeidsrettslig

Sosiale medier

• Facebook – femte største mediet i Norge• På topp er V-kanalene NRK1 og TV2, etterfulgt av NRK P1 og VG-

Nett• Hver tredje nordmann er innom nettsamfunnet daglig• FB er foran VG på papir og Dagbladet.no

Kilde: Aftenposten 28.10.09

11. oktober 201110

Sosiale medier i praksis

Typisk Facebook, LinkedIn, Twitter (ikke e-post)

•Ofte brukerstyrt, ikke redaksjonell styring

•Ukjent lesergruppe, STOR lesergruppe• Feil får store konsekvenser• Vanskelig å slette informasjon

•Dårlig sikkerhet i systemene• Kommet til “på gutterommet” – ikke fokusert på sikkerhet• Tilgangskontroll i facebook svikter jevnlig

11. oktober 201111

Sosiale medier – sentrale kjennetegn

• Usikker rettslig ramme

• Hvilken jurisdiksjon – hvilken lov?• Opphavsrett til materialet som legges ut?• Slettes informasjon?• Hvordan gjenbrukes informasjon?

• App’er• FB i Aftenposten

11. oktober 201112

Sosiale medier – sentrale kjennetegn

11. oktober 201113« Hva vet mobilappen om deg »,

Datatilsynet (16.09.2011)

Dette skjer

• Ærekrenkelser• Misbruk av personopplysninger• Taushetsbrudd• Opphavsrettskrenkelser• Twitterjacking• Brukernavn og passord stjeles• Spredning av virus / ondsinnet kode via sosiale medier

11. oktober 201114

Sosiale medier – typiske hendelser

Sikkerheten blir bedre med ansatte på sosiale medier, mener NSR

• ”Min påstand er at den største risikoen en virksomhet kan ta med hensyn til sosial programvare er å motsette seg og forby bruk”• ”Det øker risikoen ved at interne og eksterne brukere vil forsøke å finne en måte

å omgå sperren på, på en irregulær måte”

• Arne Røed Simonsen fra Næringslivets Sikkerhetsråd (NSR) under NSMs sikkerhetskonferanse 2010

11. oktober 201115

Sosiale medier ?

Bruk av sosiale medier på arbeidsplassen

11. oktober 201116

•Menneskelige aspektRetningslinjer

•Teknisk sikkerhetTypisk vedlegg

•Nye IT-baserte kontrollsystemer

•Menneskelige aspektRetningslinjer

•Teknisk sikkerhetTypisk vedlegg

•Nye IT-baserte kontrollsystemer

På vegne av virksomheten

Info.kanal ut av virksomhetenInfo.kanal ut av virksomheten

Som privatperson

Info.kanal inn til virksomheten

Info.kanal inn til virksomheten

På fritidenPå fritiden

•Menneskelige aspekt Retningslinjer

•Menneskelige aspekt Retningslinjer

•Vurdere informasjonenIkke kvalitetssikretMange feilkilder•Ikke ta imot eller videresend

virus

•Vurdere informasjonenIkke kvalitetssikretMange feilkilder•Ikke ta imot eller videresend

virus

17

April 12, 202318

Tv2,

02.

11.2

010

http:

//w

ww

.tv2.

no/n

yhet

er/i

nnen

riks/

krim

/dom

mer

-satt

-paa

-fa

cebo

ok-s

aken

-opp

-paa

-nytt

-333

1911

.htm

l

April 12, 202319

info ut dialog saksbehandling

kompleksitet

Habilitet og definisjonsmakt

Hindre at utenforstående hensyn blir vektlagt

Hindre, favorisering, diskriminering

Egeninteresser, sympatier og antipatier kan virke inn

Folk skal ha TILLIT til at slikt ikke virker inn – uavhengig av om det faktisk gjør det

11. oktober 201122

Forvaltningsloven § 6 - bakgrunn

April 12, 202323

Øst

lend

inge

n.no

(30.

mai

200

3)htt

p://

ww

w.o

stle

ndin

gen.

no/a

rkiv

/ald

ri-fo

lt-m

eg-in

habi

l-fo

rdi-j

eg-e

r-fr

imur

er-1

.446

5541

Brukes hyppig av journalister, AG og andre

”Sperrede” grupper er ikke så sperret; privat er ikke spesielt privat

Bruker-regler og innstillinger endres hyppig

Faglig diskusjonsfora på linked-in – meninger vises

Viktig ifht habilitet, egnethet og tillit – NÅ OG FREMTID

11. oktober 201124

Sosiale medier er en informasjonskilde

• Varierer over tid• Virksomheter, voksne, barn og ungdom kan ønske å fremstå annerledes om 10 år• Politiske oppfatninger kan skifte

• Varierer med kontekst • Nye kunder/tjenester, ny jobb/karriere krever andre ”presentasjoner”

• Varierer kulturelt • Søke nye kunder eller jobb i USA? I Israel?

• Det er hensiktsmessig å kunne variere hvordan man presentere seg selv – og mennesker har alltid hatt den friheten

11. oktober 201125

Hvordan presenterer vi oss selv?

Åpen kilde – kan som regel leses av alle

Kan være overraskende hva andre skriver om deg og hvilke interesser du har – selv om de ikke skal skrive det der...- Gjelder også når man innhenter informasjon om andre – det som står der er ikke alltid sant

Åpenheten gir betydelige utfordringer ifht personvern og ønsker om å ha kontroll med opplysninger og bilder som beskriver deg selv

• hvem er dine venner• hva er dine interesser• hvordan er din ”egnethet”?

11. oktober 201126

Sosiale medier som kilde – hva med personvernet?

• Ja – de bør være der• Mange bra grupper

• Sosiale medier

• Cloud

• Offentlige anskafffelser

• HR

• Personvern

ingen siling av medlemmer

11. oktober 201127

Offentlig ansatte på LinkedIn? Ansatte i børsnoterte bedrifter?

• Brukere av sosiale medier som er gjenstand for andres vurderinger – yrkesmessig eller privat – må tenke seg om før de oppdaterer status-feltet

• Og når informasjon om andre innhentes: husk at ikke alt som står på sosiale medier er sant!

11. oktober 201128

Beklager – vi har aldri helt fri

Kontroll av arbeidstaker

• Kan arbeidsgiver overvåke eller følge med på hva som legges ut?

• Det er offentlig tilgjengelig informasjon

• Kan ”jobb-twitter” følges? Ja

• Kan ”jobb-FB” følges? Ja

• Sjekke FB/twitter i ansettelsesituasjon ? Ja

• På privat FB? Kan titte innom? Ja

11. oktober 201130

Kontroll av arbeidstakers bruk?

• Aktiviteter på Internett loggføres automatisk i datasystemene

• Forskriftene: • slike logger kun skal brukes til administrasjon av systemet eller for å oppklare

sikkerhetsbrudd • (typisk hacking fra eksterne og lignende)

• Logg skal ikke brukes for å overvåke ansatte, kartlegge hvor mye tid en ansatt

bruker på nettet, eller hvilke sider vedkommende har vært inne på

11. oktober 201131

Kontroll av arbeidstakers bruk?

• Sikre speilkopi av e-postserver • Frys back-up hvis den er rullerende (for e-post)

•Sikre lovlige bevis for eventuell rettssak • Ulovlig fremskaffet bevis prosessuelt vanskeligere å benytte enn lovlig fremskaffet bevis • Rt.-2002-1500 - § 8f tolkes i AGs favør – lovlig bevis

•Sikre teknisk gode nok bevis til bruk i rettssakBruk datateknisk ekspertise for å sikre dette

• Åpning av datafiler kan endre filen slik at den ikke lenger er et fullgodt bevis. Man må bruke særlige metoder som for eksempel speiling av harddisker og spesielle søkeverktøy.

•”Bevis” fra nettmedier er ikke alltid sanne

11. oktober 201132

Kontroll av arbeidstaker – konkret mistanke?

Behovet for retningslinjer

Grenser for arbeidstakeres ytringsfrihet

Hvorfor retningslinjer?

11. oktober 201134

• Særlig i forbindelse med den ansattes private uttalelser

• Pålagt bruk vs. den ansattes private uttalelser

• I begge tilfeller bør arbeidsgiver sørge for å

Bygge kompetanse hos arbeidstaker

Skape en enhetlig presentasjon av virksomheten

Begrense skadepotensialet Klargjøre arbeidsgivers forventninger - lojalitetsplikt

Gjøre det lettere å bruke sanksjoner

11. oktober 201135

Lovfestede grenser for ytringsfrihetenForbud mot … Strafferamme Hjemmel

Ærekrenkelser

Diskriminerende utsagn

Hånende eller krenkende utsagn om tro

Pornografi

Trusler

Skadeverk, bedrageri: Skade, virus, hacking

Personvernkrenkelser

Bøter eller fengsel inntil 2 år

Bøter eller fengsel inntil 3 år

Bøter eller fengsel inntil 6 måneder

Bøter eller fengsel inntil 3 år

Bøter eller fengsel i inntil 3/6 år

Bøter eller fengsel inntil 1 år (S) / 3 år (B)

Bøter eller fengsel innen 3 måneder

Strl. §§ 246 og 247

Strl. § 135 a (men stor vekt på ytringsfrihet)

Strl. § 142 (men stor vekt på ytringsfrihet)

Strl. § 204

Strl. § 227

Strl. § 270 (B) og § 291 (S)

Strl. § 390, Åndsverksloven § 43a (bilder)

Hva skal til for å sanksjonere med oppsigelse eller avskjed?

11. oktober 201136

• Oppsigelse (arbeidsmiljøloven § 15-7) Må være saklig begrunnet i virksomhetens, arbeidsgivers eller arbeidstakerens forhold

Misligholdt forpliktelser i arbeidsavtalen, brudd på lojalitetsplikten

Saklighetskravet er en rettslig standard

Proporsjonalitetsprinsipp; advarsel i stedet for oppsigelse? Advarsel er ikke et lovkrav, men arbeidstaker bør få muligheten til å rette på forholdet Arbeidsgiver har bevisbyrden

• Avskjed (arbeidsmiljøloven § 15-14) Øyeblikkelig fratreden ved grovt pliktbrudd eller annet vesentlig mislighold av arbeidsavtalen

Ikke krav om advarsel

Grovere tilfeller av pliktforsømmelse som også kan begrunne oppsigelse, gjerne enkelttilfeller

Arbeidsgiver må reagere med det samme hvis avskjed skal benyttes

Ytringsfrihet vs. lojalitetsplikt

• Ytringsfriheten er hjemlet i Grunnloven § 100, EMK Art. 10 og SP Art 19.

April 12, 202337

• Lojalitetsplikten begrenser muligheten for negativ omtale av arbeidsgiveren

Kritikkretten

Annen omtale med negativ virkning for arbeidsgiver

Retten til å kritisere arbeidsgiver

• Arbetsdomstolens uttalelser i AD 1994 nr. 79 «Miljøbevisst fabrikkansatt»:

April 12, 202338

(1) Kritiser først etter at forholdet er forsøkt tatt opp med ledelsenn(2) Kritikk med skade som formål kan anses som brudd på lojalitetsplikten

(3) Begrenser ikke retten til å delta i debatt om spørsmål av allmenn interesse

o AD 1986 nr. 95 «Hotellresepsjonistene» o AD 1988 nr. 67 «Hovmesteren»

Hva hvis arbeidstakerens kritikk skjer ved krenkelser og trusler?

April 12, 202339

• Arbeidstakeren mente han fremsatte rettmessig kritikk. Arbeidsgiveren – og domstolen - karakteriserte det som krenkende og truende uttalelser.

• AD 2011 s. 57 «Lokføreren»:

« Nu är det i vart fall för sent, skadan med varumärket SJ blir svårt att reparera. Dock… Det som måste ske utan dröjsmål och with no mercy är att avrätta H.A. offentligt. Varumärket SJ kräver det (…). »

• Grov tilsidesettelse av plikter overfor arbeidsgiveren.

11. oktober 201140

Personvern begrenser også arbeidstakeres ytringsfrihet• Forbud mot å behandle

personopplysninger uten hjemmel

Kild

e: N

RK.n

o, 1

6. n

ovem

er 2

010

http:

//w

ww

.nrk

.no/

nyhe

ter/

dist

rikt/

hedm

ark_

og_o

ppla

nd/1

.738

2993

• Særlig aktuelt ved en virksomhets bruk av sosiale medier for aktiv kommunikasjon

• Også på private blogger?

11. oktober 201141

Sanksjoner ved brudd på personopplysningsloven:

• Overtredelsesgebyr, personopplysningsloven § 46«Datatilsynet kan pålegge den som har overtrådt denne loven eller forskrifter i medhold av den, å betale et pengebeløp til statskassen (overtredelsesgebyr) på inntil 10 ganger grunnbeløpet i folketrygden»

• Bøter og/eller fengsel, personopplysningsloven § 48«Med bøter eller fengsel inntil ett år eller begge deler straffes den som forsettlig eller grovt uaktsomt (…) Ved særdeles skjerpende omstendigheter kan fengsel inntil tre år idømmes.»

• Erstatning, personopplysningsloven § 49«Den behandlingsansvarlige skal erstatte skade som er oppstått som følge av at personopplysninger er behandlet i strid med bestemmelser i eller i medhold av loven.(…)

(..) kan også pålegges å betale slik erstatning for skade av ikke-økonomisk art (oppreisning) som synes rimelig.»

• NYTT EU-regelverk : 2% AV ÅRSOMSETNINGEN

• Forvaltningsloven:

11. oktober 201142

Særlige hensyn i offentlig virksomhet

Habilitet, taushetsplikt, opplysningsplikt, elektronisk kommunikasjon

• Arkivlova og Offentleglova bestemmer hva som skal arkiveres og journalføres:

Saksdokumenter som enten er

1)Gjenstand for saksbehandling, og/eller2)Har verdi som dokumentasjon.

(Arkivlova § 2a jf. forskriften § 3-18)

Arkiveres

Saksdokumenter som både er

1)Gjenstand for saksbehandling, og2)Har verdi som dokumentasjon.

(Arkivforskriften § 2-6)

Journalføres

• Hvordan skal kommunikasjon på sosiale medier arkiveres og journalføres?

11. oktober 201143

Særlige hensyn i offentlig virksomhet forts.

Regjeringens bruk av sosiale medier; rapport og anbefaling fra arbeidsgruppe, april 2009:

Nettmøter og bloggposter med tilhørende kommentarer arkiveres og journalføres som ett dokument.

Spørsmål sendt via Twitter vil være kortfattede og enkle, og kan normalt ikke anses som å ha verken dokumentasjonsverdi eller være gjenstand for saksbehandling. Behøver verken arkiveres eller journalføres.

Henvendelser og svar sendt via Facebook skal bare arkiveres hvis det kan betegnes som et saksdokument med verdi som dokumentasjon. Saksbehandling skal ikke skje. Kravene for journalføring vil sjelden være oppfylt: det dreier seg ofte om enkel kommunikasjon som like gjerne kunne vært tatt pr. telefon.

April 12, 202344

Utformingen av retningslinjer

11. oktober 201146

Retningslinjer ved bedriftens aktive bruk av sosiale medier

• Hva er bedriftens mål med bruk av sosiale medier?

• Hvordan skal tilstedeværelsen følges opp? Skal man alltid svare?

Merkevarebygging og omdømmehåndtering

Øke salg av produkter/tjenester

Produktutvikling gjennom innspill fra eksterne grupper

Yte bedre kundeservice

Svar alltid på spørsmål rettet direkte mot bedriften (obligatorisk) – helst samme dag som innlegget ble publisert.

Svar alltid når kommentaren kommer fra en misfornøyd kunde, eller inneholder faktafeil.

Svar på positive og nøytrale kommentarer så ofte som mulig, det viser tilstedeværelse (valgfritt)

Sjekk om det kommer nye kommentarer på ditt svar – følg opp!

11. oktober 201147

Slid

eSha

re; R

etni

ngsl

inje

r for

Net

Com

i so

sial

e m

edie

r (20

11)

http:

//w

ww

.slid

esha

re.n

et/N

etco

m_o

ffici

al/n

etco

m-r

etni

ngsl

inje

r-fo

r-so

sial

e-m

edie

r-20

11

11. oktober 201148

Retningslinjer ved bedriftens aktive bruk av s. medier forts.

• Bruk av linker til egne og andres nettsider

• Er det temaer som ikke skal kommenteres?

Henvis gjerne til bedriftens nettside. Hva med andre nettsider?

Kommenter ikke rykter og spekulasjoner

Kommenter ikke interne saker (personalsaker) hvis det ikke utgjør en vedtatt strategi

Skriv ikke negativt om andre bedrifters produkter og tjenester

• Språk, tone og etikette Bruk en personlig men skikkelig tone, og et tydelig språk.

11. oktober 201149

Slid

eSha

re; R

etni

ngsl

inje

r for

Net

Com

i so

sial

e m

edie

r (20

11)

http:

//w

ww

.slid

esha

re.n

et/N

etco

m_o

ffici

al/n

etco

m-r

etni

ngsl

inje

r-fo

r-so

sial

e-m

edie

r-20

11

11. oktober 201150

Retningslinjer for ansattes private bruk av sosiale medier• Dynamiske, interne regler – ikke direkte i arbeidsavtalen

• Den ansatte bør om mulig kvittere for at reglene er lest

I arbeidstiden: ikke overdrevet privat

Lojalitetsplikt

Taushetsplikt og temaer som ikke skal kommenteres

Generelle rettslige skranker; ærekrenkelser, fotobruk etc.

Data slettes ikke, ”slettet” materiale kan gjenfinnes

Data kan spores

Arbeidsgiver vil kunne bruk tilgjengelig informasjon

Ikke videresend linker og ”morsomme” filer - virusfare

Hvordan kan misbruk få betydning for arbeidsforholdet?

• Temaer:

April 12, 202351

Slid

eSha

re; K

jøre

regl

er fo

r bru

k av

Inte

rnett

i Sp

areB

ank

1htt

p://

ww

w.s

lides

hare

.net

/Spa

reBa

nk1/

nett

vett

regl

er-f

or-

ansa

tte-

i-spa

reba

nk-1

11. oktober 201152

Retningslinjene må følges opp

• Retningslinjer kan forenkle anvendelsen av sanksjonsreglene, men krever oppfølgning.

• En oppfatning om at ledelsen ser gjennom fingrene med overtredelser, kan få avgjørende betydning for vurderingen om avskjed eller oppsigelse er en uforholdsmessig reaksjon.

Rt. 2005 s. 518 «ConocoPhillips», premiss 53:

« Avskjed fremstår etter dette, som fremhevet av lagmannsretten, som « en unødig skarp individuell markering i forhold til et problem som omfattet et betydelig større antall ansatte, og som av flere har vært karakterisert som en «ukultur» offshore. »

11. oktober 201153

Lond

on E

veni

ng S

tand

ard,

14.

08.2

009

http:

//w

ww

.this

islo

ndon

.co.

uk/s

tand

ard/

artic

le-2

3732

446-

face

book

-ent

ry-t

hat-

earn

ed-li

ndsa

y-he

r-p4

5.do

11. oktober 201154

BCR?

• Binding corporate rules for overføring av ansatteopplysninger utenom EU og Safe Harbour

• Godkjent personvern-policy gjør overføring enkel

• Erfaring?

•

eva.jarbekk@kluge.no

Spørsmål?