Page 1

EUROJURIS

INFORMERER Personvern

Nr. 2/2015 - 21. 책rgang


Eurojuris Informerer Eurojuris Norge AS er en sammenslutning av 15 norske advokatkontorer. Kontorenes hovedfokus er leveranse av advokattjenester av høy kvalitet. Gjennom tilslutning til det internasjonale nettverket i Eurojuris International sikres de norske kontorene tilgang til det største advokatnettverket i Europa samt til advokater i utvalgte byer og regioner i resten av verden. Gjennom utgivelsene av Eurojuris Informerer ønsker vi å gi våre kunder og forbindelser innsikt i relevante og praktiske temaer på ulike rettsområder. Eurojuris Informerer omhandler denne gang relevante artikler om personvern. Personvern handler om at man har grenser for hvor nært innpå seg man vil slippe andre. Retten til privatliv har en verdi som er vanskelig å måle. Mange av oss ser verdien først når personopplysninger er på avveie og vi opplever at vår integritet er truet. Den 13. mai 2014 vedtok Stortinget å styrke vernet om den personlige integritet, ved å ta en bestemmelse om personvern inn i Grunnloven. Paragraf 102 i Grunnloven lyder: ”Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller. Statens myndigheter skal sikre et vern om den personlige integritet.” Grunnlovsbestemmelsen viser at individets rett på og behov for vern av privatlivet er grunnleggende demokratisk. Men av og til kolliderer individets rettigheter med storsamfunnets behov for kontroll. Den teknologiske utvikling, nye medier og kommunikasjonskanaler, utfordrer og skaper spenninger. I vurderingene må de berørtes personvern avveies mot formålet med kontroll. Grensesetting og disiplin er avgjørende viktig, og vurderingene fordrer dybdekunnskap og forståelse. Advokatene i Eurojuris rådgir og bistår ulike interesser og aktører på området. Gjennom dette arbeidet høstes erfaringer som deles i nettverket, og som benyttes til ytterligere å øke kvaliteten på våre tjenester. Tekstene i dette heftet er skrevet av advokater med særlig kompetanse på området, og fremstillingene gir en dypere innføring i noen få relevante temaer. Vi håper tekstene skaper forståelse og kommer til nytte. Ved spørsmål til artiklene eller annet, kan advokatene i Eurojuris kontaktes for ytterligere og utdypende informasjon. God lesing! Bjarte Røyrvik Styreleder i Eurojuris Norge AS

Besøk vår hjemmeside

www.eurojuris.no Utgivelsesdato: Juni 2015 2 Eurojuris Informerer


Innhold Side

10 ting næringsdrivende og arbeidsgivere bør vite om personvern og personopplysningsloven 4 Advokat Erik Børresen Overvåking av ansatte Advokat Lise M. Østensjø Waage Hvem eier e-posten din? Om arbeidsgivers innsynsrett i ansattes e-post Advokat Jon Arne Østvik

12

20

Retten til eget bilde – kravet til samtykke ved bruk av personbilde Advokat Øystein Sagen

26

Er e-postadressen din privat? Advokat Lene Langseth

30

Ytringsfrihet i sosiale medier 34 Advokat Ingrid Lauvås Om rett til innsyn i offentlig eide bedrifters saksdokumenter Advokat Inge A. Fredriksen

38

Eurojuris Nord – Harstad og Narvik

47

Innhold 3


10 ting næringsdrivende og arbeidsgivere bør vite om personvern og personopplysningsloven Av advokat Erik Børresen eb@advtofte.no

Erik Børresen er advokat og par tner i Advokatfirma Tofte DA, Sørlandets ledende advokatfirma. Han arbeider med informasjonsrett, arbeidsrett og familierett. Han bistår også med eiendomstransaksjoner både for private og for næringsdrivende.

1. HVA ER PERSONVERN? Personvern er ikke et klart definert begrep. Det anses normalt å omfatte ivaretakelse av personlig integritet, mulighet for privatliv, selvbestemmelse og selvutfoldelse. Personvern kan stå i et motsetningsforhold til andre viktige prinsipper, som ytringsfrihet eller offentlighet i rettspleien. Enhver kan for eksempel følge rettssaker som går for norske domstoler, men det er også begrensninger i denne retten. Rettssaker om barnefordeling går for lukkede dører på grunn av personvernet til partene i saken. Publikum kan derfor ikke overvære disse. Personvern handler også om vår egen kontroll med opplysninger om oss selv. Slik samfunnet har utviklet seg, har dette blitt mer og mer vanskelig. Det samles inn store mengder data om oss – alt fra hva vi foretar oss på nett, til hvor vi kjører bilen, og hva vi handler på butikken. Google og Facebook er eksempler på aktører som lagrer store mengder data om oss. Dette er informasjon som også i stor grad er tilgjengelig for oss på nett. Er det først lagt ut informasjon på nettet, kan det være vanskelig å få bort den informasjonen senere. Uttrykket ”big data” omhandler slik innsamling av enorme mengder data som stiller store krav til lagring, analyse og bruk. Slik innsamling åpner nye dører for forskning,

trendanalyser og markedsføring, men kan være problematisk for personvernet. USAs datasnokingsskandale har satt slik informasjonsinnsamling i et nytt lys. Advokat Elden mener f.eks. at han mistet sitt visum til USA som følge av sin dialog med en klient på Facebook. Facebook mener selv at de med stor grad av sikkerhet kan forutse en fremtidig skilsmisse ved bruk av den informasjonen de sitter på om deg, sammenholdt med all informasjon til øvrige brukere. Dersom du har søkt etter informasjon om et produkt på nett, vil du oppleve at reklamen på nettsider du besøker, gjelder nettopp slike produkter. Dette skyldes at du legger igjen spor på nettet som lagres og sammenstilles og deretter benyttes kommersielt. I Norge har vi mange rettsregler som regulerer personvernet. Grunnloven § 102 første punktum gir de overordnede retningslinjer for personvern i Norge og lyder: ”Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. ” Dette grunnleggende utgangspunktet gjennomsyrer vårt lovverk. Vi har regler om politiets rett til å foreta ransakelser, kommunikasjonskontroll, om bruk av videoovervåking, lagring av informasjon om kunder og ansatte, om taushetsplikt

4 10 ting næringsdrivende og arbeidsgivere bør vite om personvern og personopplysningsloven


i forvaltningen og for bestemte yrkesgrupper mv. Alle disse reglene er utslag av at man anser personvern som viktig. Personopplysningsloven er en sentral lov på dette området, og den regulerer behandling av personopplysninger. Lovens formål er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Den skal ivareta grunnleggende personvernhensyn, som behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplys-

ninger. Dette er regler som er svært viktige, men som mange nok ikke i tilstrekkelig grad er kjent med eller tar inn over seg i sitt daglige virke. Reglene i denne loven gjelder for de aller fleste virksomheter i Norge i dag. Likevel er det nok mange som mener at personvern er noe som ikke er så viktig eller bare brysomt. Gjør det noe om noen har lagret noe om deg som de kanskje ikke har lov til? Gjør det noe om vi har liggende de gamle kundelistene våre selv om personene kanskje ikke er kunder

Grunnloven § 102 første punktum gir de overordnede retningslinjer for personvern i Norge og lyder : “Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon.”

10 ting næringsdrivende og arbeidsgivere bør vite om personvern og personopplysningsloven 5


lenger? Behøver vi å ha regler om telefonsalg til privatpersoner? Gjør det noe om vi beholder kopi av e-post fra tidligere ansatte etter at de har sluttet? Er det i orden å filme naboen fra en kameradrone og legge filmen ut på Internett? I en straffesak vil man for eksempel i noen tilfeller bruke opplysninger om hvor en mobiltelefon har befunnet seg, som bevis, og mange tenker at dette er uproblematisk. Et slikt ”bevis” sier egentlig bare at et sim-kort har vært i en telefon i et nærmere angitt område på et bestemt tidspunkt. Flere personer kan ha vært i samme område og derved bli ”mistenkt” blant annet basert på slike opplysninger. Dette kan, dersom vilkårene for øvrig er oppfylt, medføre ransaking, avhør og kanskje varetektsfengsling. Det er både ubehagelig og kan skape problemer for de som utsettes for dette. Vedkommende kan bli navngitt i media, og nærmiljøet vil fort forstå at vedkommende er mistenkt for den aktuelle handlingen. Det er sammenstillingen av informasjonen som gjør at det har bevisverdi, og som samlet sett også gjør det problematisk dersom vi ikke har retningslinjer for lagring. Det er snart ikke lenger mulig å ha et privatliv – alle kan finne ut svært mye om oss ved å foreta enkle søk på nettet. De store leverandørene sammenstiller informasjon fra mange ulike aktører og gir et totalbilde av en person, uten at det er noen garantier for at informasjonen er korrekt. Ved alvorlig kriminalitet eller terrorisme er det mange som mener at vi må finne oss i å bli mistenkeliggjort for å beskytte samfunnet. Det er lett å bevise sin uskyld dersom man ikke har gjort noe galt, mener noen. Andre mener at man skal være forsiktig med å benytte personopplysninger på en slik måte. Det finnes ingen

universale svar på dette, men man må forholde seg til de rettsregler som gjelder i Norge om dette i dag. Utfordringen er ofte at det som kan fremstå som uproblematisk for noen, er vanskelig å akseptere for andre. Vi har alle ulike grenser for hvor nær vi ønsker at andre skal komme, og hvor mye de skal vite om oss. I tillegg er det vanskelig å forutse hvordan personopplysningene andre har lagret, vil påvirke oss i fremtiden. I det følgende vil jeg behandle den delen av personvernet som knytter seg til personopplysninger. 2. HVA ER PERSONOPPLYSNINGER? Dette begrepet er sentralt for å forstå personvern og når personopplysningsloven får anvendelse. Personopplysninger er langt mer enn et navn, en adresse eller et fødselsnummer. En personopplysning er enhver informasjon som kan knyttes til én eller flere bestemte personer. Personopplysningsloven definerer personopplysning som opplysninger og vurderinger som kan knyttes til en enkeltperson. Dette kan være informasjon som er knyttet til et navn eller et fødselsnummer, men også informasjon om telefonnummer, bilnummer, film eller fotografi som avbilder en person, fingeravtrykk eller annen informasjon som kan knyttes til en person. Et praktisk eksempel er e-post. En e-post vil normalt inneholde et navn enten på avsender eller mottaker, og derved vil innholdet defineres som personopplysninger. Et kundearkiv, en pasientjournal, en bærbar PC eller en mobiltelefon vil også inneholde personopplysninger. Det er vanskelig å tenke seg næringsvirksomhet som ikke behandler personopplysninger slik som angitt i personopplysningsloven.

6 10 ting næringsdrivende og arbeidsgivere bør vite om personvern og personopplysningsloven


3. NÅR GJELDER PERSONOPPLYSNINGSLOVEN? Personopplysningsloven gjelder behandling av personopplysninger som skjer ved elektroniske hjelpemidler og annen behandling av personopplysninger når disse skal brukes i et personregister. Med behandling menes enhver bruk, innsamling, lagring, registrering, sammenstilling og utlevering. Med andre ord vil alle næringsdrivende som har en datamaskin, mobiltelefon e.l., være underlagt personopplysningsloven. 4. FORMÅLSBETRAKTNINGER VED INNSAMLING OG BRUK AV PERSONOPPLYSNINGER Et bærende prinsipp i personopplysningsloven er at personopplysningene bare kan benyttes i samsvar med det formålet de er samlet inn for. Dette følger av personopplysningsloven § 11 bokstav b) – e) og annet ledd. Dette setter klare begrensninger for hvordan informasjonen kan benyttes og lagres. Bruk som ikke er i samsvar med formålet, er ikke tillatt. Flere bedrifter har tatt i bruk GPS-systemer i sine kjøretøy for å effektivisere driften av virksomheten. Høyesterett kom i 2013 til at sammenstilling av GPS-data med timelister for å kontrollere om en ansatt hadde fått overtidsbetaling ulovlig, ikke var i samsvar med formålet med innsamlingen. Slik bruk var derfor i strid med personopplysningsloven. Det var et sentralt

moment i vurderingen til Høyesterett at den ansatte ikke var blitt godt nok informert om at opplysningene kunne benyttes til slik kontroll, og at det derfor manglet samtykke fra den ansatte til dette. Blodprøver innlevert til medisinsk forskning, kan ikke senere benyttes til å avdekke alvorlig kriminalitet. Det er mange gode grunner til at man skulle kunne benytte slik informasjon f.eks. der hvor man har DNA til en ellers ukjent person som man med stor grad av sikkerhet mener vil begå terrorisme. Ved bruk av slike helseopplysninger vil man kunne finne ut hvem denne personen er, og derved stanse handlingen. Dette er likevel ansett som så problematisk at det ikke er tillatt i Norge. Dersom man aksepterer at man benytter personopplysningene til annet enn det formål de er samlet inn for, vil det for eksempel medføre at man avstår fra å delta i medisinsk forskning. Det er også viktig at man med rimelig grad av sikkerhet vet hva personopplysningene vil bli brukt til i fremtiden.

Personopplysningsloven definerer personopplysninger som opplysninger og vurderinger som kan knyttes til en enkeltperson. 10 ting næringsdrivende og arbeidsgivere bør vite om personvern og personopplysningsloven 7


5. HVORDAN SKAL VI FORHOLDE OSS TIL PERSONOPPLYSNINGSLOVEN? Personopplysningsloven setter klare begrensninger for hva en næringsdrivende kan gjøre med personopplysninger i sin virksomhet.

Det finnes også eksempler på det motsatte. Høyesterett har akseptert at fotobevis ervervet ved automatisk trafikkontroll, også brukes som bevis for andre forhold enn fartsovertredelse (som er formålet med innsamlingen). Høyesterett har akseptert at bilde fra fotoboks ble brukt som bevis for bilbrukstyveri – vedkommende som var avbildet, hadde stjålet bilen han ble avbildet i. Høyesterett mente av bildet var fremskaffet på lovlig måte, det var varslet med skilt, og overtrederen hadde selv kontroll på om det ble tatt bilde eller ikke. Derfor ble dette tillatt, selv om det ikke var i samsvar med formålet. Dette prinsippet gjelder for alle som behandler personopplysninger. Det er derfor viktig å tenke gjennom hva opplysningene skal brukes til når de samles inn, og at det gis tilstrekkelig med informasjon slik at man kan benytte informasjonen som tiltenkt senere. Når informasjonen først er samlet inn, må man eventuelt innhente samtykke fra den registrerte for å kunne benytte informasjonen til et annet formål. Man skal også være oppmerksom på at opplysningene ikke kan lagres lenger enn formålet med innsamlingen tilsier. Dersom man innhenter fødselsnummer for å foreta kredittsjekk, så skal fødselsnummeret slettes etterpå, selv om personen blir registrert som kunde og fødselsnummeret da vil gi en entydig og god identifikasjon av vedkommende.

Personopplysninger kan bare behandles dersom den registrerte har samtykket, det er fastsatt i lov at det er adgang til slik behandling, eller behandlingen er nødvendig for å oppfylle en avtale med den registrerte, eller bruken er i samsvar med de øvrige formål som fremkommer av personopplysningsloven § 8. Dersom det er sensitive personopplysninger som skal behandles, stilles særskilte krav i personopplysningslovens § 9. Det er også egne krav for bruk av fødselsnummer. Alle som er underlagt personopplysningsloven, skal ha en behandlingsansvarlig. Det innebærer at alle som driver næringsvirksomhet, skal ha en behandlingsansvarlig. Denne personen skal sørge for at personopplysninger bare behandles når dette er tillatt, at opplysningene benyttes til angitt formål, at de er tilstrekkelige og relevante for formålet, at opplysningene er korrekte og oppdatert og ikke oppbevares lenger enn nødvendig. Den behandlingsansvarlige skal etablere og vedlikeholde et internkontrollsystem som skal være dokumentert og tilgjengelig. Dette kan gjerne gjøres som del av HMS-arbeidet i bedriften etter internkontrollforskriften til blant annet arbeidsmiljøloven. Det sentrale er at man har et bevisst forhold til behandling av personopplysninger, og at behandlingen er i samsvar med reglene i personopplysningsloven. Virksomheten skal lage en oversikt over personopplysninger som behandles etter personopplysningsforskriftens § 2-4. En risiko- og sårbarhetsanalyse bør også lages.

8 10 ting næringsdrivende og arbeidsgivere bør vite om personvern og personopplysningsloven


Det finnes en rekke bestemmelser i personopplysningsloven som det vil føre for langt å gå inn på her. Det viktige er å være oppmerksom på at dersom man skal samle inn eller behandle personopplysninger, så må man kontrollere hva man har lov til å gjøre i medhold av personopplysningsloven og personopplysningsforskriften. Et praktisk eksempel er arbeidsgivers innsyn i ansattes e-post. Hva gjør man når en ansatt blir langvarig syk og man har behov for tilgang til vedkommendes e-post? Det er egne regler om dette i personopplysningsforskriften. Arbeidsgiver har bare rett til å gjennomsøke, åpne eller lese e-post i en arbeidstakers e-postkasse dersom det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten, eller ved begrunnet mistanke om at arbeidstakers bruk av e-postkassen medfører grovt brudd på de plikter som følger av arbeidsforholdet, eller kan gi grunnlag for oppsigelse eller avskjed. Det er en rekke prosedyrer som skal følges ved innsyn, herunder at arbeidstaker så langt som mulig skal varsles og har rett til å uttale seg før arbeidsgiver gjennomfører innsyn. Advokat Jon Arne Østvik har skrevet nærmere om dette i en egen artikkel i denne utgaven av Eurojuris Informerer. Datatilsynet fører tilsyn med loven. De kan føre tilsyn der det finnes personopplysninger, og kreve å få tilgang til informasjon. Overtredelse av loven kan medføre overtredelsesgebyr, pålegg om endring eller opphør og tvangsmulkt inntil pålegget er gjennomført. Overtredelse er også straffesanksjonert med bøter eller fengsel i inntil ett år. Det er også lovfestet erstatningsansvar for økonomisk tap som er påført som følge av ulovlige handlinger.

6. MELDEPLIKT OG KONSESJON Det er regler om både meldeplikt og konsesjonsplikt etter personopplysningsloven. Hovedregelen etter personopplysningsloven § 31 er meldeplikt. Behandlingsansvarlig skal gi melding til Datatilsynet minst 30 dager før behandling av personopplysninger med elektroniske hjelpemidler eller ved opprettelse av manuelt personregister som inneholder sensitive personopplysninger. Meldingen må fornyes hvert tredje år. Det er en rekke praktiske unntak fra denne meldeplikten inntatt i personopplysningsforskriften. Den viktigste er kanskje personopplysninger om kunder, abonnenter og leverandører forutsatt at opplysningene behandles som ledd i administrasjon og gjennomføring av kontraktsforpliktelser. Opplysninger ved eie eller leie av fast eiendom, aksjebøker etter aksje- og allmennaksjeloven, personalregistre (på visse vilkår) og aktivitetslogg i datanett (på visse vilkår) er også unntatt. Opplysningene kan ikke brukes til andre formål senere. Det kreves konsesjon for behandling av sensitive personopplysninger, samt for teletjenester, forsikring og bank- og finansinstitusjoner. Dette følger av personopplysningsforskriften. De dette angår, er normalt godt kjent med disse reglene. Det finnes også andre unntak fra disse reglene. Det viktigste unntaket gjelder der den registrerte har samtykket og opplysningene er nødvendige for gjennomføringen av en kontraktsforpliktelse. Generelt anbefales å melde behandling av personopplysninger til Datatilsynet dersom man er i tvil. Det er lite arbeid forbundet med dette, og konsekvensen er bare at man kommer i Datatilsynets liste over foretak som har overholdt meldeplikten.

10 ting næringsdrivende og arbeidsgivere bør vite om personvern og personopplysningsloven 9


7. INNSYN OG INFORMASJONSPLIKT Enhver som ber om det, har rett til å få vite hva slags behandling av personopplysninger som foretas, og kan kreve en rekke opplysninger fra registeret. Dette gjelder uavhengig av om vedkommende selv er registrert. Dette gjelder blant annet hva slags type personopplysninger som behandles, hvor opplysningene hentes fra, og om opplysningene vil bli utlevert. Dette følger av personopplysningsloven § 18. Man skal altså kunne vite hvordan personopplysningene blir brukt, før man gir opplysningene fra seg. Dersom den som ber om opplysninger, også er registrert, skal det i tillegg opplyses hvilke opplysninger om den registrerte som behandles, og sikkerhetstiltakene ved behandlingen. Loven spesifiserer ikke hvordan disse opplysningene skal gis. Datatilsynet anbefaler at det utarbeides en personvernerklæring som legges ut på den næringsdrivendes nettsider. Den bør inneholde opplysningene som fremgår av personopplysningsloven § 18. En slik erklæring kan også inneholde opplysninger om bruk av informasjonskapsler (cookies). Dette er lovpålagt etter ekomloven § 2-7b. Den kan også inneholde øvrig informasjon om hvem som driver nettstedet, herunder firmanavn, adresse og organisasjonsnummer. Dette er også lovpålagt og vil gjøre det enklere å finne ut hvem som står bak nettstedet. Slik vil informasjonen være samlet på ett sted. Når det samles inn informasjon, skal det gis informasjon til den registrerte om navn og adresse på den behandlingsansvarlige, formålet med behandlingen, om opplysningene vil bli utlevert, og eventuelt til hvem, at det er frivillig å gi fra seg opplysningene, og annen informasjon som gjør den registrerte i stand til å bruke sine rettigheter etter loven.

8. HAR DU LOV TIL Å BRUKE SKYTJENESTER TIL LAGRING AV PERSONOPPLYSNINGER? Det er egne regler om overføring av personopplysninger til utlandet. Reglene skiller mellom ”trygge land” og resten av verden. Overføring av personopplysninger til tredjeland som ikke har et tilfredsstillende beskyttelsesnivå, krever at mottaker av opplysningene er en databehandler, og at grunnlaget for overføringen er EUs standardkontrakt inntatt i kommisjonsbeslutning 2010/87/EU datert 5. februar 2010, eller at Datatilsynet forhåndsgodkjenner overføringen. Med tredjeland menes alle land som ikke har gjennomført direktiv 95/46/EF, og som heller ikke er godkjent ved EU-kommisjonsbeslutning. Disse reglene kan ha betydning for flere. Dersom man ikke har egne servere for lagring av data eller e-post, må man forsikre seg om at dataene ikke eksporteres til utlandet i strid med reglene. Skytjenester er lagringstjenester på nettet som lar deg lagre og hente ut dine data via Internett. Du trenger ikke å ha informasjonen lagret på eget datautstyr og kan derfor enkelt få tilgang til informasjonen uavhengig av hvor du er, og hva slags utstyr du benytter. Eksempler på slike skytjenester er Gmail, Dropbox, GoogleDocs og Telenor Min Sky. Skytjenester fra store internasjonale aktører vil kunne ligge på ulike plasser i verden. I Danmark foreligger en avgjørelse om at advokater ikke kan benytte Dropbox til lagring av klientinformasjon fordi slik lagring er i strid med eksportforbudet i den danske personopplysningsloven. Noe av bakgrunnen for dette er at man ikke vet hvor Dropbox lagrer sine data. Det er også slik at mange av disse systemene ikke sletter data, selv om brukeren ber om det.

10 10 ting næringsdrivende og arbeidsgivere bør vite om personvern og personopplysningsloven


På Dropbox kan man for eksempel hente frem igjen slettede filer, noe som kan være i strid med personopplysningsloven § 11 første ledd bokstav e siste alternativ. Etter at det ble kjent at USA i stor utstrekning har fått tilgang til slike datasystemer, har mange blitt særlig oppmerksomme på de utfordringer det er å lagre personopplysninger på slike nettbaserte systemer. Det er grunn til å anta at det fortsatt vil være stort fokus på dette fremover. Det er også slik at det finnes særlovgivning som forbyr slik lagring i utlandet. Arkivlova har for eksempel forbud mot overføring av arkivmateriale til utlandet. 9. SÆRSKILT OM PUBLISERING AV BILDER AV PERSONER I den private sfære er publisering av bilder ofte et omdiskutert tema. Reglene er imidlertid klare: I utgangspunktet er det ikke tillatt å publisere bilder av personer uten samtykke fra den avbildede. Reglene om dette følger både av personopplysningsloven og av åndsverksloven. Det er særlig åndsverkslovens bestemmelse i § 45 c som trekkes frem når det er tale om bilder, men et fotografi av en person er også å regne som personopplysning etter personopplysningsloven. For alle praktiske formål må derfor en bedrift ha samtykke fra ansatte, kunder e.l. før de publiserer bilder av personer, enten dette er på bedriftens nettside, i brosjyrer eller på Facebook.

skal medarbeidere pålegges taushetsplikt der hvor konfidensialitet er nødvendig. Det er den behandlingsansvarlige som skal påse dette. Normalt vil det også være i strid med formålet ved innsamlingen av personopplysninger å gi tilgang til opplysningene for andre. Det innebærer at det også ut fra formålsbetraktninger vil påligge en taushetsplikt for alle som behandler personopplysninger. Spesiallovgivningen har også en rekke krav til taushetsplikt som vil komme i tillegg til reglene i personopplysningsloven. Dette gjelder i stor utstrekning offentlige virksomheter, men også private virksomheter som inkassovirksomhet, banker, privatskoler, barnehager, eiendomsmeglere, regnskapsførere, teleselskaper mv. Den behandlingsansvarlige skal også sørge for sikring mot uautorisert tilgang. Dette innebærer beskyttelse med passord og eventuelt fysisk med avlåsing. Overføring av informasjon elektronisk skal krypteres eller sikres på annen måte når konfidensialitet er nødvendig. Det er da viktig at også sikkerhetskopier skal sikres på tilstrekkelig måte. Alle kravene til informasjonssikkerhet etter forskriften skal dokumenteres og bør inngå i internkontrolldokumentasjonen til den næringsdrivende.

10. TAUSHETSPLIKT OG SIKRING AV PERSONOPPLYSNINGER Personopplysningsloven har ingen uttrykkelig bestemmelse om taushetsplikt. Personopplysningsforskriften § 2-9 har en bestemmelse om taushetsplikt. Etter denne bestemmelsen

10 ting næringsdrivende og arbeidsgivere bør vite om personvern og personopplysningsloven 11


Overvåking av ansatte Av advokat Lise M. Østensjø Waage lmowaage@eurojuris.no

Lise M. Østensjø Waage er advokat i Advokatfirmaet Eurojuris Haugesund AS. Hun arbeider særlig med fast eiendoms rettsforhold, kontraktsrett, insolvens og immaterielle rettigheter.

1. INNLEDNING De senere års teknologiske utvikling, med smarttelefoner, “cookies” og lagring “i skyen”, gir stadig nye overvåkingsmuligheter. Aldri har det vært enklere og billigere for arbeidsgivere å kontrollere sine ansatte. Mer elektronisk datalagring og større lagringskapasitet gjør det lett å lagre “for mye”. Dette utfordrer de ansattes personvern og stiller krav til etikk og kunnskap hos arbeidsgiver. Mange arbeidsgivere trår feil, og usikkerhet rundt regelverket er utbredt: Kan en butikkeier videoovervåke kassen hvis han mistenker at en ansatt nasker? Kan arbeidsgiver logge den ansattes arbeidsinnsats og effektivitet i løpet av dagen? Eller sjekke hvor kjørebiler befinner seg i løpet av dagen for å avdekke mulig skulk? Hva med logging av Internett-bruk på jobb? Personvern handler om kontroll med egne personopplysninger, om personlig integritet, privatlivets fred, og at opplysningene som registreres om en, er riktige. Arbeidsgiver kan ha gode grunner til å kartlegge eller overvåke ansatte. En gjennomgang av arbeidsprosesser i en industribedrift kan for eksempel avdekke risikosituasjoner og hindre senere skader. Kartlegging må imidlertid skje innenfor gitte rammer, og feilskjær kan koste dyrt. Regelbrudd kan innebære høye overtredelsesgebyr, tvangsmulkt og/eller erstatningsansvar og kan dessuten være straffbart. 12 Overvåking av ansatte

Retten til personvern er regulert i personopplysningsloven og -forskriften. De ansattes personvern på arbeidsplassen er i tillegg regulert av arbeidsmiljølovens kapittel 9, som begrenser arbeidsgivers adgang til å innføre kontrolltiltak på arbeidsplassen. Kontrolltiltak må ha saklig grunn i virksomhetens forhold og ikke innebære uforholdsmessig belastning for ansatte. Det kreves også drøftinger med tillitsvalgte før kontrolltiltak innføres, og at tiltakene evalueres jevnlig. I det følgende gjennomgås eksempler på kontrolltiltak, med fokus på når tiltakene kan godtas, og hvilke prosedyrer som da må følges. 2. KAMERAOVERVÅKING PÅ ARBEIDSPLASSEN 2.1 I hvilke tilfeller kan kamera installeres? Kameraovervåking på arbeidsplassen er ikke kurant, og forutsetter at arbeidsgiver har særlig behov for dette. Kamera tillates for å ivareta arbeidstakers liv og helse, men likevel bare dersom arbeidsplassen har en særskilt sikkerhetsrisiko. Dette kan være aktuelt for produksjonsbedrifter med risiko for faresituasjoner, for eksempel innen oljeindustrien. Kamera kan også lovlig installeres for å hindre tyveri og hærverk fra utenforstående, men også her gjelder en begrensning om at virksomheten må ha særskilt risiko for dette. Dette er typisk aktuelt hos bedrifter som oppbevarer mye kontanter,


Overvåking av ansatte – hva gjelder? • En ”personopplysning” er enhver opplysning som kan knyttes til en person, for eksempel fødselsdato eller tid og sted for en telefonsamtale. • Personopplysningsloven og -forskriften gjelder behandling av personopplysninger med elektroniske hjelpemidler, behandling av personopplysninger som skal inngå i et personregister og for kameraovervåking. • Behandling av personopplysninger forutsetter samtykke fra den opplysningen gjelder, alternativt lovhjemmel eller annet rettslig grunnlag. • Behandlingen må ha saklig formål. Opplysningene kan ikke brukes til andre formål. • Det kan ikke registreres flere opplysninger enn nødvendig. Opplysningene kan heller ikke lagres for lengre tid enn nødvendig. • Lagrede opplysninger må være relevante, korrekte og fullstendige. • For behandling av sensitive personopplysninger gjelder særlig strenge regler. Dette gjelder bl.a. opplysninger om etnisk opphav, helse og politiske oppfatninger. • Behandling av personopplysninger med elektroniske hjelpemidler er meldepliktig til Datatilsynet. Unntak gjelder for arbeidsgivers behandling av (ikke sensitive) personalopplysninger. • Behandling av sensitive personopplysninger krever konsesjon (forhåndstillatelse) fra Datatilsynet. • Den enkelte er selv ansvarlig for å følge regelverket. Datatilsynet fører tilsyn med at regelverket følges. • EU ventes i løpet av 2015 å vedta ny personvernforordning, som ytterligere vil innskjerpe reglene.

Overvåking av ansatte 13


for eksempel banker, postkontorer og eksklusive klokkebutikker. Kameraovervåking for å avsløre svinn og underslag fra ansatte er mer problematisk, men kan etter omstendighetene være tillatt. Om virksomheten har et dokumentert problem eller konkret fare for svinn av en viss størrelse, vil kameraovervåking kunne godtas. I og med at arbeidsgiver alltid plikter å ta i bruk det minst inngripende tiltaket (og kameraovervåking på arbeidsstedet normalt oppleves belastende) må arbeidsgiver ha forsøkt å komme svinnproblemet til livs på andre måter før kameraovervåkingen innføres. Under ingen omstendighet vil arbeidsgiver kunne overvåke toaletter, garderober eller pauserom. Et kamera som logger lengden av de ansattes pauser, vil altså alltid være forbudt. Heller ikke rent forebyggende kameraovervåking er tillatt. En butikkeier uten svinnproblemer av betydning kan altså ikke installere kamera for å redusere fremtidig risiko for dette.

14 Overvåking av ansatte

Det er verdt å merke seg at de samme strenge regler også gjelder montering av ”utstyr som lett kan forveksles med en ekte kameraløsning”, altså dummy-kamera. Dette skyldes nok at belastningen for de ansatte er den samme om de tror de blir filmet som om de virkelig blir det. 2.2 Rutiner og prosedyrer når kameraovervåking av ansatte er aktuelt Før kamera monteres som kontrolltiltak overfor ansatte, må ansatte og tillitsvalgte varsles, og det må gjennomføres drøftelser med de tillitsvalgte. Ordningen må evalueres jevnlig. Det er et absolutt krav at kameraovervåking skiltes tydelig. Overvåkingen kan aldri ha større omfang enn nødvendig. Dette kan tilsi at en nøyer seg med sanntidsovervåking/monitorering, uten at opptakene lagres. Opptak som er lagret, kan ikke utleveres til andre uten samtykke fra den som er filmet. Her gjelder imidlertid unntak for politiet, som kan gis innsyn i opptakene ved etterforskning av straffbare handlinger eller ulykker dersom ikke lovbestemt taushetsplikt er til hinder for dette.


Filmopptakene skal ikke lagres lenger enn nødvendig, og må som hovedregel slettes senest innen 7 dager. For post- og banklokaler er slettefristen 3 måneder. En arbeidsgiver som ønsker kameraovervåking, må altså etablere et system for å besørge rettidig sletting. All kameraovervåking er meldepliktig til Datatilsynet. Meldingen må fornyes hvert tredje år. 3. INNSYN I ANSATTES E-POST OG PRIVATE FILER 3.1 I hvilke situasjoner kan arbeidsgiver sjekke ansattes e-post / private filer? Den klare hovedregelen er at arbeidsgiver ikke kan lese ansattes e-post eller private filer. Unntak gjelder ”når det er nødvendig for å ivareta den daglige driften eller andre berettigete interesser ved virksomheten”. Dette er for eksempel aktuelt om en ansatt brått blir alvorlig syk eller skadet og arbeidsgiver trenger tilgang til hans e-post/område for å få klarlagt viktige frister som må følges opp for den ansattes saker, kunder e.l. Arbeidsgiver kan også sjekke den ansattes e-post mv. ved begrunnet mistanke om grovt pliktbrudd eller ved forhold som kan begrunne oppsigelse eller avskjed, typisk om den ansatte laster ned eller videresender barnepornografi. Arbeidsgivers innsynsrett gjelder bare PC/utstyr som arbeidsgiver har stilt til den ansattes disposisjon. E-post og filer lagret på den ansattes private hjemme-PC, omfattes altså ikke. Det gjelder ingen restriksjoner for informasjon den ansatte har lagret på bedriftens fellesområde. Dette kan arbeidsgiver uten videre lese.

3.2 Rutiner og prosedyrer når innsyn i e-post / private filer er aktuelt Arbeidstakeren skal ”så langt mulig” gis et begrunnet varsel på forhånd. Han har rett til å uttale seg og til å være til stede under gjennomføringen, og også til å la seg bistå av tillitsvalgt eller en annen representant. Har innsyn skjedd uten forhåndsvarsel, for eksempel fordi det ikke var mulig å få tak i arbeidstaker, må arbeidstaker varsles i ettertid. Ved gjennomføringen av innsynet må arbeidsgiver passe på slik at en unngår å lese filer som ligger utenfor innsynsretten, for eksempel korrespondanse med fagforening. Generelt anbefales at arbeidsgivere, som forebyggende tiltak, har klare retningslinjer for bruk av virksomhetens datasystem. 4. OVERVÅKING OG LOGGING AV ANSATTES NETTBRUK Virksomheter plikter å logge alt som har betydning for informasjonssikkerheten. Dette innebærer å sikre at filer og system ikke skades, at de er tilgjengelige for brukerne, og at utenforstående ikke har tilgang. De fleste datasystemer logger automatisk hvem som har forsøkt å logge seg på systemet eller ulike programmer. Det er også vanlig at ansattes aktiviteter på Internett eller bruk av skriver logges automatisk. Til tross for at loggføringen kan være pålagt, er arbeidsgivers adgang til å bruke den loggførte informasjonen begrenset. Loggene kan bare benyttes etter sitt formål, som er å administrere datasystemet og avdekke sikkerhetsbrudd. All annen bruk er meldepliktig til Datatilsynet. Arbeidsgiveren kan altså ikke uten videre kartlegge hvor mye tid hver ansatt bruker på Overvåking av ansatte 15


Internett, eller hvilke nettsider som blir besøkt. Arbeidsgiver har imidlertid full rett til å sperre systemet mot visse typer nedlastning, filer eller nettsteder. Viser loggen at noen har lastet ned ulovlige filer i stort omfang, er vanligvis det enkleste tiltaket for arbeidsgiver å sperre adgang til sidene det lastes ned fra. Dermed kan man få bukt med problemet uten å gi seg inn på meldepliktig behandling av personopplysninger. Ønsker arbeidsgiver å kartlegge hvilke ansatte som står bak ureglementert databruk, bør de ansatte på forhånd varsles om at slik kontroll vil bli foretatt om ikke nedlastningen e.l. opphører innen en gitt frist. Dersom aktiviteten tross dette fortsatt pågår når fristen utløper, vil arbeidsgiver kunne bruke loggene til å avdekke hvem som står bak, uten å innhente samtykke fra de ansatte. Indikerer loggene straffbare forhold, for eksempel surfing på barnepornografi, kan og skal arbeidsgiver kontakte politiet. 5. ADGANGSKONTROLL Et adgangskontrollsystem som lagrer arbeidstakernes passeringer, innebærer overvåking av ansatte. Innføring av et slikt system må derfor drøftes med de tillitsvalgte, og de ansatte må informeres om hvordan systemet skal brukes, og hva som er systemets formål. Er formålet sikkerhetshensyn, for eksempel å holde utenforstående ute? Eller å logge hvor de ansatte til enhver tid befinner seg i arbeidslokalene? Formålet må være klart definert, og må avveies konkret mot de ansattes personvern. Det er stor variasjon i hvor mye informasjon et slikt system logger, og om informasjonen lagres eller ikke. Et system som ikke lagrer passeringsinformasjon, men virker som et rent nøkkelkort-

16 Overvåking av ansatte

system, er i utgangspunktet uproblematisk. Dette utgjør verken (meldepliktig) elektronisk lagring av personopplysninger eller kontrolltiltak etter arbeidsmiljøloven. Dersom passeringsopplysninger lagres, er det viktig at det som lagres, er korrekt. Datatilsynet anser lagring av passeringsinformasjon som baserer seg på adgangskort, som for usikkert, og krever i slike tilfeller at det i tillegg brukes PIN-kode. Adgangskontrollsystem er meldepliktig til Datatilsynet. Melding må sendes senest 30 dager før systemet tas i bruk, og må fornyes hvert tredje år. 6. GPS-SPORING AV TJENESTEBIL 6.1 Når kan GPS-sporing være lovlig? GPS-sporing av arbeidsbiler kan ha ulike formål. Arbeidsgiver kan for eksempel ønske å logge bruk av en tjenestebil for å oppfylle skattelovgivningens dokumentasjonskrav (”elektronisk kjørebok”). Arbeidsgivere som har flere kjøretøy ute i trafikken, og trenger oversikt over hvor kjøretøyene til enhver tid befinner seg, kan oppnå dette ved GPS-logging/”flåtestyring”. Dette kan typisk gjelde for taxi- eller renovasjonsvirksomhet. GPS-sporing kan også være aktuelt av sikkerhetshensyn, for eksempel der risikoen for ran fra kjøretøyet er stor. I alle disse situasjonene kan GPS-logging være lovlig. Det er likevel et absolutt krav at informasjonen som lagres ikke er mer omfattende enn formålet tilsier. Elektronisk kjørebok eller flåtestyringssystem kan ikke lovlig brukes til å logge hvilken hastighet den enkelte sjåfør hadde til enhver tid, eller hvor lange pauser vedkommende har tatt.


Et GPS-sporingssystem som utelukkende installeres for å overvåke de ansattes kjøretid og -pauser, vil stride både mot personopplysningsloven og arbeidsmiljøloven. 6.2 Rutiner og prosedyrer ved opprettelse av GPS-sporing Her gjelder de samme regler som ved innføring av kameraovervåking og adgangskontroll, som beskrevet over. GPS-sporing som kontrolltiltak må drøftes på forhånd med de tillitsvalgte, og må

løpende evalueres. Det foreligger også meldeplikt til Datatilsynet. Dersom GPS-sporingen ikke er kontinuerlig, men for eksempel settes på når sjåføren utløser en alarmknapp, anses dette som et sikkerhetstiltak for den ansatte, og ikke som et kontrolltiltak. I så fall kreves ikke drøftelser med tillitsvalgte. Også for GPS-sporing er regelen at logget informasjon ikke kan lagres lenger enn nødvendig, og ikke kan brukes til andre formål.

Arbeidsgiveren kan altså ikke uten videre kartlegge hvor mye tid hver ansatt bruker på Internett, eller hvilke nettsider som blir besøkt.

Overvåking av ansatte 17


6.3 Dom om oppsigelse på grunn av informasjon fra GPS-logg Datatilsynets klare utgangspunkt er at informasjon innhentet gjennom GPS-sporing, ikke kan brukes til å kontrollere de ansattes timelister. Her har imidlertid domstolene kommet til et annet resultat. Avfallsservice AS i Troms innførte i 2009 et GPS-loggingssystem med det formål at de ansatte skulle rapportere håndtering av den enkelte søppeldunk. Basert på mistanke mot en konkret ansatt, sammenlignet arbeidsgiver opplysninger fra GPS-loggen med den ansattes timelister, og avdekket at arbeidstakeren hadde krevd overtid for tid der bilen hadde stått i ro. Den ansatte ble sagt opp på dette grunnlag. Under den påfølgende arbeidsrettssaken krevde den ansatte at GPS-loggen skulle avskjæres som ulovlig bevis, og krevde oppreisningserstatning for brudd på personopplysningsloven. Selv om retten var enig i at arbeidsgiver var uberettiget til å benytte GPS-loggen på denne måten, tillot retten loggen ført som bevis, blant annet for å sikre en materielt riktig avgjørelse. Høyesterett ga heller ikke den ansatte medhold

18 Overvåking av ansatte

i kravet om oppreisningserstatning. Retten uttalte at bruk av loggen ikke utgjorde noen grov krenkelse, og at det etter en avveining av de kryssende hensyn i saken ikke var grunnlag for erstatning. En skal nok være meget forsiktig med å ta dommen til inntekt for at det er fritt frem for arbeidsgiver å benytte slik overskuddsinformasjon. Dommen viser likevel at bruken av regelverket kan synes noe mer nyansert enn det Datatilsynet angir på sine hjemmesider. 7. RUSTESTING Noen arbeidsgivere ønsker mulighet til rutinemessig rustesting av ansatte, og ber gjerne arbeidstakerne samtykke til dette gjennom arbeidskontrakten. Rustesting gjør et stort inngrep i den ansattes personvern, og arbeidsmiljøloven fastsetter i hvilke tilfeller rustesting kan skje. Det åpnes for rustesting bare når dette følger av lov/forskrift, når den som testes har en stilling som innebærer særlig risiko, eller når arbeidsgiver finner det nødvendig for å verne liv eller helse. Dette kan


typisk være dersom en yrkessjåfør, flyger eller hjernekirurg mistenkes å møte ruset på arbeid. Selv om lovens vilkår er oppfylt, kan arbeidsgiver aldri tvangsgjennomføre rustesting. En ansatt som nekter å inngå avtale om rustesting, risikerer nok likevel en advarsel, som i ytterste konsekvens vil kunne ende i oppsigelse eller avskjed. Arbeidsgiver vil aldri kunne kreve testing av samtlige ansatte, uavhengig av stilling. 8. OPPSUMMERING Alle arbeidsgivere bør ha et bevisst forhold til hvilken elektronisk informasjon man lagrer om

de ansatte. Man kan aldri lagre flere opplysninger enn virksomheten har behov for, og omfanget av lagring må ikke krenke de ansattes personvern. Det er viktig med rutiner for hvordan opplysninger skal sikres og slettes. Enhver arbeidsgiver bør dessuten vite hvilke tiltak som er meldepliktige overfor Datatilsynet, og hvilke kontrolltiltak som krever drøftelser med tillitsvalgte. Eurojuris bistår gjerne virksomheter som er usikre på omfanget av sine plikter i denne forbindelse. Det ligger også mye god informasjon om emnet på Datatilsynets hjemmesider.

Man kan aldri lagre flere opplysninger enn virksomheten har behov for, og omfanget av lagring må ikke krenke de ansattes personvern.

Overvåking av ansatte 19


Hvem eier e-posten din? Om arbeidsgivers innsynsrett i ansattes e-post Av advokat Jon Arne Østvik jon@eurojuris.no

Jon Arne Østvik er fast ansatt advokat i Advokatfirma Storø AS i Nar vik, som er en del av Advokatfellesskapet Eurojuris Nord. Han driver allmennpraksis med hovedvekt på fast eiendoms rettsforhold, bygg- og entrepriserett og forretningsjuss.

1. INNLEDNING I hine hårde dage, da brev utelukkende ble stilet på papir og postlagt i egen konvolutt, var det av betydning hvorledes adressatens navn var skrevet på konvolutten. Om bedriftens navn var skrevet på første adresselinje og den ansattes navn på andre linje, tilhørte brevet bedriften og kunne åpnes av en sekretær eller andre ansatte. Om en ansatts navn derimot stod foran bedriftens navn, skulle brevet leveres uåpnet til den det var stilet til. For i det sistnevnte tilfellet ble brevet ansett som personlig med et innhold som andre muligens ikke hadde rett til innsyn i. På denne måten kunne man skille mellom det som var firmapost og det som var privat post. Men etter hvert som e-post i stadig større grad har erstattet brevene, er det ikke lenger mulig å skille mellom privat post og firmapost på samme måte. Når stadig mer av posten stiles direkte til arbeidstaker som e-post, oppstår spørsmålet om hvilken rett arbeidsgiver har til å lese arbeidstakers e-post. E-post som er firmapost, har arbeidsgiver et forståelig behov for å kunne gjøre seg kjent med – ikke minst dersom mottaker av e-posten er sykemeldt og ikke selv kan lese den. Men arbeidstaker har samtidig et like forståelig behov for å verne post som kan være strengt personlig, og som arbeidsgiver hverken har behov for eller rett til å kreve innsyn i.

Eksempelvis kan dette særlig gjøre seg gjeldende dersom e-postkassen inneholder informasjon som arbeidstakeren har mottatt som tillitsvalgt. Til tross for at e-post har vært brukt i arbeidslivet i mange år allerede, skulle det ta tid før vi fikk egne bestemmelser som regulerer dette spørsmålet. Disse reglene trådte i kraft den 1. mars 2009 og ble nedfelt i et nytt kapittel 9 i personopplysningsforskriften. I paragrafene 9-1 til 9-5 er det gitt bestemmelser som regulerer hvem som eier e-posten, arbeidsgivers innsynsrett, prosedyrer ved innsyn og hva som skal skje når et arbeidsforhold opphører. Selv om denne artikkelen kun tar for seg arbeidsgivers adgang til innsyn i en ansatts e-post, gjelder reglene tilsvarende for arbeidsgivers rett til gjennomsøking av og innsyn i arbeidstakers personlige område i virksomhetens datanettverk. I tillegg gjelder reglene for andre elektroniske kommunikasjonsmedier eller elektronisk utstyr som arbeidsgiveren har stilt til arbeidstakers disposisjon til bruk i arbeidet i virksomheten, for eksempel mobiltelefon eller nettbrett. 2. HVEM EIER E-POSTEN? Av personopplysningsforskriftens § 9-2 følger det at arbeidsgiver som et utgangspunkt ikke har rett til innsyn i en ansatts e-postkasse. I forskriften er e-postkasse definert som

20 Hvem eier e-posten din? Om arbeidsgivers innsynsrett i ansattes e-post


”e-postkasse arbeidsgiver har stilt til arbeidstakers disposisjon til bruk i arbeidet ved virksomheten”.

vilkår, og det er tilstrekkelig at ett av dem er oppfylt for at arbeidsgiver kan kreve innsyn.

Forskriften regulerer dermed primært de e-postadresser som knytter navnet på den ansatte til virksomheten, for eksempel ola.nordmann@bedrift.no. E-post som sendes til bedriftens egen e-postkasse, for eksempel postkasse@bedrift.no, har arbeidsgiver dermed full innsynsrett i, selv om den inneholder private opplysninger om en ansatt.

3. INNSYN ER NØDVENDIG FOR Å IVARETA DEN DAGLIGE DRIFTEN ELLER ANDRE BERETTIGEDE INTERESSER VED ARBEIDSGIVERS VIRKSOMHET

Selv om en e-post er sendt direkte til en arbeidstaker, kan arbeidsgiver likevel kreve innsyn i konkrete tilfeller. Dette fremgår av personopplysningslovens § 11, jf. § 8, hvor det fremgår at innsyn skal gis dersom det etter en interesseavveining anses som nødvendig for et konkret formål. Hvilke formål som eventuelt kan begrunne slikt innsyn, er nedfelt i forskriftens § 9-2. Bestemmelsen inneholder flere alternative

Innsyn etter dette alternativet beror på en konkret interesseavveining hvor hensynet til en rasjonell og forsvarlig drift av arbeidsgivers virksomhet holdes opp mot arbeidstakers personvern. Å sikre en forsvarlig drift vil naturligvis alltid være en berettiget interesse for en arbeidsgiver. Dette er imidlertid i seg selv ikke tilstrekkelig ettersom et krav om innsyn også må framstå som nødvendig. Dersom driften kan sikres på andre og mindre inngripende måter, skal innsyn nektes. Et eksempel som ofte oppstår i praksis, er at en ansatt blir fraværende fra jobb grunnet sykdom,

Av personopplysningsforskriftens § 9-2 følger det at arbeidsgiver som et utgangspunkt ikke har rett til innsyn i en ansatts e-postkasse.

Hvem eier e-posten din? Om arbeidsgivers innsynsrett i ansattes e-post 21


permisjon eller andre grunner. Dersom det i den ansattes fravær må antas å ha kommet virksomhetsrelaterte meldinger i hans e-postkasse, har arbeidsgiver god grunn til å ønske innsyn. Innsyn er imidlertid ikke den eneste måten arbeidsgivers kan løse situasjonen på. I mange tilfeller kan dette løses ved å ta en telefon til den ansatte og spørre om han kan videresende e-poster som må ivaretas i hans fravær. Likeledes kan fraværsmeldinger med informasjon om hvor firmapost skal sendes i vedkommendes fravær, sikre forsvarlig drift. Er slike tiltak ikke mulig, vil arbeidstakers fravær kunne begrunne innsyn i hans e-postkasse. Det er ingen klare regler rundt varighet av fraværet, men lengden vil selvfølgelig være et moment når det skal vurderes hvor nødvendig det er å gjøre innsyn. På den annen side kan selv et kort fravær like fullt gi grunnlag for innsyn. I merknadene til forskriftens kapittel 9 sies det bl.a. at innsyn kan vurderes som nødvendig selv om den ansatte bare er ute til lunsj dersom

”arbeidsgiver har god grunn til å tro at det ligger et tilbud med kort akseptfrist i arbeidstakers e-postkasse som krever tiltak før arbeidstaker er tilbake”. 4. INNSYN VED BEGRUNNET MISTANKE OM AT ARBEIDSTAKERS BRUK AV E-POSTKASSEN MEDFØRER GROVT BRUDD PÅ DE PLIKTER SOM FØLGER AV ARBEIDSFORHOLDET, OG KAN GI GRUNNLAG FOR OPPSIGELSE ELLER AVSKJED Bestemmelsen åpner for adgang til innsyn i de tilfeller hvor det foreligger begrunnet mistanke om at bruk av e-postkassen kan gi grunnlag for oppsigelse eller avskjed. Det er i så måte viktig å understreke at det er selve bruken av e-postkassen som danner grunnlaget for oppsigelse eller avskjed. At den ansatte, grunnet andre pliktbrudd, risikerer oppsigelse eller avskjed, gir således ikke i seg selv grunnlag for innsyn. Av merknadene til personopplysningsforskriftens § 9-2 bokstav b fremgår det at bestemmelsen sikter til de handlinger hvor den ansattes e-postkasse er benyttet

22 Hvem eier e-posten din? Om arbeidsgivers innsynsrett i ansattes e-post


”til handlinger som kan være straffbare, men som ikke nødvendigvis er det, eller som ellers åpenbart ikke er i virksomhetens/arbeidsgivers interesse”. Merknadene trekker frem bruk av datasystemet til utsendelse av spam eller e-post med annet skadelig innhold som eksempel. Mottak av slikt innhold gir dog ikke grunnlag for innsyn da dette ligger utenfor arbeidstakers kontroll. Dette alternativet vil også kunne gi grunnlag for innsyn i saker der det foreligger mistanke om at arbeidsgivers utstyr benyttes til trakassering av kolleger, eller til straffbare forhold som er av betydning for arbeidsgiver, så som bruk av arbeidsgivers utstyr til nedlasting av ulovlig materiale, som barnepornografisk materiale eller ulovlig fildeling. Arbeidsgiver må ha mer enn en løs antagelse for at det kan sies at det foreligger en begrunnet mistanke om forhold som kan medføre oppsigelse eller avskjed. Arbeidsgiver må ha konkret informasjon som gir grunn til å tro at e-postkassen kan inneholde opplysninger om slike forhold forskriften nevner. Dette kan for eksempel være tips fra kolleger eller informasjon fremkommet gjennom den generelle administrasjonen av virksomhetens it-systemer, jf. forskriftens § 7-11.

5. GJENNOMFØRING AV INNSYN Av forskriftens § 9-3 fremgår det at ”arbeidstaker skal så langt som mulig varsles og få anledning til å uttale seg før arbeidsgiver gjennomfører innsyn etter dette kapittelet.” At bestemmelsen bruker ordene ”så langt som mulig” innebærer at varsling ikke er et absolutt krav, men at det skal gjøres så sant mulig. Bestemmelsen må videre forstås dithen at varsel kan unnlates dersom det er adgang til innsyn umiddelbart. Ved denne vurderingen vil tidsaspektet nok en gang være av betydning. Dersom arbeidsgiver har tid til å kontakte arbeidstaker, vil dette tale for at innsyn må forhåndsvarsles. På den annen side vil et eksempel som omtalt i pkt. 3.3 ovenfor tale for at varsel kan unnlates. Dersom varsel er påkrevd, sier forskriften intet om hvorledes varselet skal gis. Det fremgår imidlertid at varselet skal inneholde en begrunnelse for hvorfor innsyn anses nødvendig. Det er derfor å anbefale at varselet gis skriftlig, eller i alle fall bekreftes skriftlig, slik at det foreligger dokumentasjon for at forskriftens krav er oppfylt. I varselet skal arbeidstaker videre informeres om sin rett til å være til stede, samt å la seg bistå av tillitsvalgt eller annen representant når innsynet

Selv om en e-post er sendt direkte til en arbeidstaker, kan arbeidsgiver likevel kreve innsyn i konkrete tilfeller.

Hvem eier e-posten din? Om arbeidsgivers innsynsrett i ansattes e-post 23


gjennomføres. Arbeidstaker har utelukkende en rett til å la seg representere og ingen plikt. Dersom den ansatte ikke ønsker at tillitsvalgte eller andre skal se innholdet i hans e-postkasse, kan han således velge å møte alene uten representant. Er innsyn gjennomført uten forutgående varsel, krever forskriftens § 9-3 at arbeidsgiver i ettertid informerer arbeidstaker om hvorfor innsyn ble gjennomført, hvilken metode for innsyn som ble valgt, hvilke e-poster eller filer som ble åpnet, samt resultatet av innsynet. Redegjørelsen skal være skriftlig. Arbeidsgivers plikt til å varsle forut for eller etter innsyn gjelder ikke i tilfeller nevnt i personopplysningsloven § 23. Denne bestemmelsen unntar den ansattes rett til informasjon når det er nødvendig å hemmeligholde innsynet av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger. Bestemmelsen retter seg således mot politiets etterforskning av et mulig straffbart forhold og ikke mot arbeidsgivers egen etterforskning, men vil, dersom den kommer til anvendelse, uansett frita arbeidsgiver for hans varslingsplikt etter forskriftens § 9-3. De opplysningene arbeidsgiver får kjennskap til gjennom innsynet, kan bare benyttes i samsvar med personopplysningsloven §§ 8, 9 og 11. Arbeidsgiver kan således ikke benytte den informasjon som samles inn, til andre formål enn det som begrunnet innsynet. Av personopplysningsloven § 11 c følger det dessuten at senere bruk av opplysningene ikke skal være uforenlig med det opprinnelige formålet. Det må derfor legges til grunn at dersom innsyn er gjennomført i medhold av forskriftens § 9-2 bokstav a eller b, skal det mye til for at opplysningene kan benyttes til andre formål enn her spesifisert.

6. FORHOLDSREGLER VED GJENNOMFØRING AV INNSYN Til tross for at man tar forholdsregler, vil det være en risiko for at dokumenter som ikke omfattes av innsynsretten, gjøres kjent for arbeidsgiveren når det foretas innsyn. Ved å planlegge hvorledes innsynet skal gjennomføres, kan man likevel redusere risikoen betraktelig. Det kan videre være klokt at partene i fellesskap fastsetter retningslinjer og forholdsregler for innsynet, slik at begge parter kjenner spillereglene og vet hva de har å forholde seg til. Eksempler i så måte kan være at søket gjennomføres av andre enn arbeidsgiver selv, ved konkretisering av søkeord og ved at man ikke leser mer av e-postens innhold enn det som er nødvendig for å ta stilling til dokumentets relevans. 7. OPPHØR AV ARBEIDSFORHOLDET Hovedregelen etter forskriften er at e-postkassens innhold skal slettes ved arbeidsforholdets opphør, så sant ikke drift av virksomheten tilsier at informasjonen fortsatt må lagres. Det mest praktiske vil da være at arbeidstaker sletter e-post eller andre dokumenter med privat innhold, og gir arbeidsgiver tilgang til all dokumentasjon med tjenstlig innhold. Dersom arbeidsforholdet er avsluttet på en slik måte at arbeidstaker selv ikke har kunnet rydde i egen e-post, f.eks. ved arbeidstakers plutselige død, kan arbeidsgiver like fullt ha behov for tilgang til e-postkassens innhold. Foruten firmapost som er ubesvart, kan e-postkassen også inneholde annet innhold som det av hensyn til bedriftens drift er nødvendig å sikre. I slike tilfeller må arbeidsgiver innen rimelig tid sørge for å sikre de dokumenter som er nødvendig, hvoretter e-postkassen og dets innhold skal slettes. Hva som er rimelig tid, må vurderes konkret, men Datatilsynet har lagt til grunn at

24 Hvem eier e-posten din? Om arbeidsgivers innsynsrett i ansattes e-post


arbeidsgiver må ha sluttført sin vurdering i løpet av seks måneder etter arbeidsforholdets opphør. 8. KONSEKVENSER AV OVERTREDELSE AV FORSKRIFTEN Bestemmelsene om innsyn i arbeidstakers e-postkasse er nokså generelt og skjønnsmessig utformet. Av denne grunn er det ikke knyttet straffesanksjoner til brudd på reglene. På den annen side vil personopplysningslovens generelle regler om reaksjoner ved brudd på regler gitt i eller i medhold av loven, gjelde, så som Datatilsynets mulighet til å ilegge overtredelsesgebyr og tvangsmulkt. I tillegg kan den ansatte selv kreve så vel erstatning for lidt tap som oppreisning for ikke-økonomisk skade etter personopplysningsloven § 49. 9. RÅD TIL ARBEIDSGIVERE OG ARBEIDSTAKERE Innsyn i en arbeidstakers e-postkasse kan være grunnlag for konflikt. Forutsetningen for at en slik konflikt skal oppstå er imidlertid at e-postkassen inneholder personlig informasjon som en ansatt ønsker å verne. En arbeidsgiver kan dermed redusere problemet betydelig ved å ha interne retningslinjer som regulerer de ansattes bruk

av bedriftens e-post til private formål. Det kan videre være fornuftig at tillitsvalgte får en særskilt e-post til bruk i deres tillitsverv. Arbeidstaker kan på sin side bidra ved å redusere bruken av sin e-post til private formål. Han kan videre sørge for å slette private e-poster etter hvert som de er lest. E-post som han ønsker å beholde, bør angis som ”privat” i emnefeltet og lagres i en egen mappe som tydelig angir at innholdet er privat.

Bestemmelsene om innsyn i arbeidstakers e-postkasse er nokså generelt og skjønnsmessig utformet. Av denne grunn er det ikke knyttet straffesanksjoner til brudd på reglene.

Hvem eier e-posten din? Om arbeidsgivers innsynsrett i ansattes e-post 25


Retten til eget bilde – kravet til samtykke ved bruk av personbilde Av advokat Øystein Sagen oystein.sagen@eurojuris.no

Øystein Sagen er advokat og par tner i Advokatfirmaet Eurojuris Harstad AS som er en del av Advokatfellesskapet Eurojuris Nord. Han driver allmennpraksis med hovedvekt på forretningsjus, offentlig rett, fast eiendom og arbeidsrett.

1. INNLEDNING Publisering av personbilder kan reise en rekke ulike juridiske problemstillinger. Det kan for eksempel være forhold til opphavsrett, hensynet til privatlivets fred og personvernhensyn. Det omfattes av en rekke ulike regler som til dels overlapper hverandre. I denne artikkelen er det personvernhensynet som vil være tema, nærmere bestemt en persons rett til å råde over offentliggjøring av bilder av egen person. Artikkel 8 i Den europeiske menneskerettskonvensjon (EMK) forplikter staten til å verne borgerne mot uhjemlede inngrep i deres personvern. I norsk rett er dette blant annet ivaretatt gjennom åndsverklovens § 45c. Behandlingen vil nødvendigvis bli relativt overordnet, da temaet omfatter en hel rekke ulike problemstillinger og nyanser som vanskelig lar seg omtale mer detaljert innenfor rammene av denne artikkelen. 2. OFFENTLIGGJØRING AV PERSONBILDE KREVER SAMTYKKE Det følger av åndsverkloven § 45c at ”Fotografi som avbilder en person kan ikke gjengis eller vises offentlig uten samtykke av den avbildede.”

Fra dette utgangspunktet inneholder loven en rekke unntak. Disse vil jeg komme tilbake til under. I de fleste tilfeller vil det ikke være tvil om hva som er ”fotografi som avbilder en person”. Dersom et bilde viser én eller flere personer som kan identifiseres, snakker vi som regel om et personbilde. Mer tvilsomt kan det være dersom ansiktet ikke vises for eksempel, og det er vanskelig å gjenkjenne vedkommende. Er det klart at personen ikke kan gjenkjennes, faller nok bildet utenfor bestemmelsen, men er det kjennetegn som gjør at man kan se hvem det er, selv om det kun er blant en begrenset krets, anbefales det å behandle bildet som et personbilde. For ordens skyld vil jeg også understreke at begrepet ”fotografi” også omfatter film (levende bilder). Offentliggjøring omfatter i tillegg til for eksempel trykking i aviser, tidsskrifter og reklame også publisering på Internett. Mange er imidlertid ikke klar over at dette også omfatter offentliggjøring av bilder på sosiale medier som Facebook. Det gjelder ingen formkrav til samtykke. Det kan gis både muntlig og skriftlig. Selv om det i mange sammenhenger kan oppfattes som tungvint og upraktisk, vil det av hensyn til bevis være en fordel om samtykke innhentes skriftlig. Dette vil

26 Retten til eget bilde – kravet til samtykke ved bruk av personbilde


spesielt være aktuelt der det er profesjonelle som offentliggjør bildene, og i tilfeller der man har mistanke om at samtykkespørsmålet kan bli et tema i etterkant. Ved skriftlig samtykke vil det også være lettere å avklare hvor langt samtykket faktisk gjelder. 3. UNNTAK FRA SAMTYKKEKRAVET Som nevnt over, inneholder åndsverkloven § 45c en rekke unntak fra samtykkekravet. For det første er fotografi der ”avbildningen har aktuell og allmenn interesse” (§ 45c nr. 1) unntatt.

Det vil for eksempel gjelde bilder som brukes i nyhetsreportasjer. Det kan også være tale om bilder tatt av kjente personer i forbindelse med for eksempel bryllup og andre anledninger av offentlig interesse. Kjente personer har et noe svakere vern enn andre, men også disse har et personvern som må hensyntas. Det neste unntaket gjelder der ”avbildningen er mindre viktig enn hovedinnholdet i bildet” (§ 45c nr. 2). Dette vil kunne gjelde i tilfeller der det for eksempel er tatt et landskapsbilde der en person tilfeldigvis er blitt med, og der vedkommende

Det følger av åndsverkloven § 45c at ”Fotografi som avbilder en person kan ikke gjengis eller vises offentlig uten samtykke av den avbildede.” Retten til eget bilde – kravet til samtykke ved bruk av personbilde 27


spiller en mindre fremtredende rolle i motivet. Likevel må behovet for vern vurderes konkret. I noen tilfeller kan bildet avsløre personlige forhold om en person, og dermed være omfattet av personvernet. Det tredje unntaket gjelder der ”bildet gjengir forsamlinger, folketog i friluft eller forhold eller hendelser som har allmenn interesse” (§ 45c nr. 3). Begrunnelsen er at man fritt skal kunne gjengi bilder tatt i forbindelse med offentlige begivenheter, for eksempel 17. mai-tog, idrettsstevner, demonstrasjoner osv. Det er også gjort unntak for fotografer som på vanlig måte viser frem bilder de har tatt som reklame for egen virksomhet (§ 45c nr. 4). Dette forutsetter imidlertid at den avbildede ikke har nedlagt forbud mot dette. Det anbefales likevel at fotografer i forbindelse med fotograferingen innhenter samtykke dersom bildet tenkes brukt til dette. Dette vil ikke minst være ryddig overfor den som avbildes.

Offentliggjort personbilde i form av fotografisk verk kan gjengis uten samtykke i skrift av biografisk innhold, jf. § 45c nr. 5, jf. § 23 tredje ledd. Samtykkekravet er til slutt ikke til hinder for at et personbilde ”brukes i forbindelse med etterlysning, i etterforskning eller som bevismiddel” (§ 45c nr. 5 jf. § 27 andre ledd). 4. KONSEKVENSER AV BRUDD PÅ SAMTYKKEKRAVET Forsettlig eller uaktsom overtredelse av åndsverkloven § 45c er et straffbart forhold som kan straffes med bøter eller fengsel i inntil tre måneder, jf. § 54 første ledd bokstav b. Er overtredelsen forsettlig, og det foreligger særlig skjerpende forhold, er strafferammen bøter eller fengsel i inntil tre år. Straffeforfølgelse av slike overtredelser er nok likevel ikke den mest praktiske reaksjonen. Det vanligste er krav om vederlag for bruken eller erstatning. Det følger av åndsverklovens § 55 første ledd at skade som er påført som følge av brudd på § 45c, kan kreves erstattet etter alminnelige

28 Retten til eget bilde – kravet til samtykke ved bruk av personbilde


erstatningsregler. Dersom det kan sannsynliggjøres økonomisk tap som følge av overtredelsen, kan dette kreves erstattet. Ofte vil det kunne være en utfordring å sannsynliggjøre tap. Et alternativ er også erstatning for såkalt tort og svie. Er den avbildedes rett etter § 45c krenket forsettlig eller grovt uaktsomt, kan retten tilkjenne ham eller henne et pengebeløp som oppreisning for skade av ikke-økonomisk art. Det følger videre av § 55 andre ledd at ”Selv om gjerningsmannen har handlet i god tro, kan den fornærmede uansett skadens størrelse kreve utbetalt nettofortjenesten ved den ulovlige handling”. Tanken bak dette er at den som overtrer bestemmelsen, ikke skal tjene økonomisk på dette. Dette kan være grunnlag for den fornærmede til å kunne kreve vederlag for bildebruken. Det har vært en rekke saker med krav om vederlag eller erstatning som følge av overtredelse av åndsverkloven § 45c, og da spesielt i tilfeller der bilder av kjente personer er blitt benyttet i reklameøyemed. Et eksempel er krav fra snowboardutøveren Andy Finch på vederlag etter at et bilde av ham ble benyttet uten samtykke av Tromsø 2018 AS

i forbindelse med søknaden om å bli norsk søkerby for de olympiske vinterleker i 2018. Finch ble tilkjent et vederlag for bruk av bildet på kr. 80.000,-. I en annen sak ble en mann av libanesisk opprinnelse fotografert mens han deltok i en demonstrasjon mot Muhammed-karikaturene i Oslo. Bildet ble benyttet som blikkfang for en magasinartikkel om innvandring uten at det ble gjort oppmerksom på i hvilken sammenheng det var tatt. Høyesterett tilkjente ham en oppreisningserstatning på kr. 100.000,- fra magasinutgiveren og kr. 20.000,- fra redaktøren. Det finnes også en rekke eksempler på at erstatning eller vederlag er utbetalt etter avtale mellom partene. De eksemplene som er nevnt over, synes å være representative for det nivået erstatninger og vederlag har lagt seg på. 5. OPPSUMMERING Det er min klare anbefaling at man før offentliggjøring av personbilde innhenter samtykke fra den avbildede, med mindre offentliggjøringen klart er innenfor de konkrete unntakene i åndsverkloven § 45c. Først og fremst av respekt for den som er avbildet, og av hensyn til hans eller hennes personvern. Dernest fordi overtredelse av samtykkekravet kan føre til betydelige økonomiske konsekvenser for den som offentliggjør et personbilde.

Det er min klare anbefaling at man før offentliggjøring av personbilde innhenter samtykke fra den avbildede, med mindre offentliggjøringen klart er innenfor de konkrete unntakene i åndsverksloven § 45c. Retten til eget bilde – kravet til samtykke ved bruk av personbilde 29


Er e-postadressen din privat? Av advokat Lene Langseth llangseth@eurojuris.no

Lene Langseth er advokat og par tner i Svensson Nøkleby Advokatfirma ANS, Buskeruds ledende advokatfirma. Hun jobber hovedsakelig med varemerke-, designog markedsføringsrett, offentlige anskaffelser og bostyreroppdrag.

1. INNLEDNING Visste du at individuelle e-postadresser er å anse som en personopplysning, og at virksomheter ikke uten videre kan sende reklame per e-post, sms eller mms? Markedsføring via e-post eller sms er blitt mer vanlig, og mange opplever nok daglig å få markedsføringshenvendelser per e-post eller sms fra næringsdrivende, som man i mange tilfeller oppfatter som ”spam” eller søppelpost. I dag har man anledning til å reservere seg mot direkte markedsføring via telefon og adressert post. Dette gjøres i Reservasjonsregisteret via nettsiden Brønnøysund.no. Reservasjonsregisteret omfatter imidlertid ikke reservasjoner mot e-post, telefaks, sms eller mms, og man har da ikke et tilsvarende register for slike henvendelser. Mange virksomheter har et eget register over eksisterende og tidligere kunder, hvor blant annet e-post og telefonnummer inngår. I den grad registeret benyttes til markedsføringshenvendelser via e-post eller sms, det være seg henvendelser knyttet til salg av varer eller tjenester, medlemskap eller nyhetsbrev, forespørsel om deltakelse i konkurranse eller lignende, så driver virksomheten med direkte markedsføring.

30 Er e-posten din privat?

Denne typen markedsføring forutsetter at den elektroniske adressen som benyttes for distribusjon, er samlet inn i samsvar med personopplysningsloven og markedsføringsloven. Det videre tema for denne artikkel er å redegjøre kort for reglene for bruk av e-post, sms og mms ved utsendelse av markedsføringshenvendelser. 2. PERSONOPPLYSNINGSLOVEN Personopplysningsloven inneholdt tidligere en egen bestemmelse om retten til å reservere seg mot direkte markedsføring, men den ble opphevet ved implementering av markedsføringsdirektivet i markedsføringsloven i 2009. Både personopplysningsloven og markedsføringsloven stiller krav til behandling av personopplysninger. Det kreves samtykke til utlevering av personopplysninger til andre, og det stilles krav til hvordan slike opplysninger skal innhentes og registreres. Personopplysningsloven stiller blant annet krav til at den som samler inn personopplysninger, oppgir hvilke opplysninger som registreres, hva opplysningene skal brukes til, om opplysningene vil bli utlevert til andre og i så fall hvem, samt navn og adresse på den behandlingsansvarlige. Videre skal det opplyses om at det er frivillig å gi fra seg opplysninger, og at man har rett til innsyn i hvilke opplysninger som registreres.


Både personopplysningsloven og markedsføringsloven stiller krav til samtykke fra den som avgir opplysningene, samt krav til hvilken informasjon den næringsdrivende skal gi til den registrerte kunden. 3. MARKEDSFØRINGSLOVEN 3.1 Forbud mot direkte markedsføring Det følger av markedsføringsloven § 15 at direkte markedsføring mot fysiske personer er forbudt, med mindre det foreligger samtykke til bruk av slike elektroniske kommunikasjonsmetoder. Formålet med bestemmelsen er å gi den fysiske personen bedre kontroll med hvilke markedsføringshenvendelser han eller hun mottar, uansett medium. Bestemmelsen omfatter fysiske personer, noe som innebærer at ikke bare forbrukere

er omfattet, men også næringsdrivende. Markedsføringshenvendelser til juridiske personer er imidlertid tillatt, for eksempel til post@firma.no. I den grad virksomheten er i tvil om mottaker er en fysisk person i en virksomhet eller en generell postkasse for virksomheten, skal den elektroniske henvendelsen ikke sendes. 3.2 Krav til gyldig samtykke For at den næringsdrivende skal kunne sende markedsføringshenvendelser per e-post, sms eller mms, må virksomheten i forkant ha sikret seg at det foreligger et gyldig samtykke. Det er den næringsdrivende som sender henvendelsene, som har bevisbyrden for at samtykke foreligger. Det er således viktig at virksomheten sikrer notoritet rundt avgivelse av samtykke. Videre stiller loven minstekrav til samtykket. Det følger av lovens forarbeider at samtykket som

Det følger av markedsføringsloven § 15 at direkte markedsføring mot fysiske personer er forbudt, med mindre det foreligger samtykke til bruk av slike elektroniske kommunikasjonsmetoder. Er e-posten din privat? 31


avgis, må være en ”frivillig, uttrykkelig og informert erklæring”. Dette samsvarer med kravet til samtykke etter personopplysningsloven § 2 nr. 7.

således til grunn at et samtykke gjelder frem til det eventuelt blir trukket tilbake.

I ordlyden ”frivillig” ligger at samtykket må være avgitt uten tvang / uoppfordret, og at samtykket til enhver tid kan kalles tilbake.

Mange næringsdrivende kjøper i dag lister over forbrukere som har samtykket til å bli kontaktet, noe som ikke uten videre er uproblematisk verken for den næringsdrivende eller for den som skal motta henvendelsen.

Med ”uttrykkelig” forutsettes det at samtykket avgis ved at det fortas en aktiv handling. Det er således ikke tilstrekkelig med et forhåndsavkrysset felt, eller at vedkommende er bundet ved passivitet. Med ordlyden ”informert” stilles det krav til den næringsdrivendes opplysningsplikt. Den næringsdrivende må ha opplyst hva e-postadressen skal brukes til, og av hvem. Det skal videre opplyses om hvor ofte markedsføring vil skje, og hvilke produkter som markedsføres. Loven stiller ingen krav til hvordan samtykke skal være gitt. Et muntlig samtykke er like gyldig som et skriftlig samtykke. Av hensyn til notoritet for den næringsdrivende, vil imidlertid et skriftlig samtykke være å foretrekke. Næringsdrivende kan ikke innhente samtykke ved at de for eksempel ved e-post, sms eller mms henvender seg til vedkommende med spørsmål om han eller hun ønsker å avgi samtykke. Oslo tingrett har i en dom fra 2012 anbefalt bruk av ”dobbel opt–in”-modell. ”Dobbel opt-in”-modell innebærer at mottakeren i etterkant av en registrering får tilsendt en e-post hvor han eller hun skal bekrefte påmeldingen. Først når en lenke i e-posten er aktivert av mottakeren, er samtykke gitt. Lovens bestemmelser sier ingenting om hvor lenge et samtykke er gyldig avgitt. Det legges 32 Er e-posten din privat?

3.3 Samtykkedatabaser

Som forbruker eller næringsdrivende bør du vite hva du samtykker til. Dersom du for eksempel er med i en konkurranse på Internett eller du godtar å motta en gratis prøvepakke, kan det være at du samtidig samtykker til at en rekke virksomheter kan kontakte deg som et ledd i direkte markedsføring via e-post, sms eller mms. For næringsdrivende som kjøper slike lister, er det viktig å sikre dokumentasjon på at gyldig samtykke er gitt. De samme kravene som er listet opp ovenfor, gjelder også her. Blant annet bør den som kjøper samtykkelisten, være særskilt nevnt som en næringsdrivende som vil kunne sende e-post, sms eller mms, eller at den næringsdrivendes virksomhet er innenfor et bestemt interesseområde som samtykket er avgitt for. Dette henger sammen med kravet til informert erklæring, og at man skal vite hvem man kan motta henvendelser fra. Generelle samtykkeerklæringer om at e-posten vil kunne bli solgt til hvem som helst, vil ikke oppfylle lovens krav. Videre må den næringsdrivende samtidig sende et varsel til forbrukeren om at samtykkedatabasen er kjøpt, sammen med informasjon om hvordan man kan trekke samtykket tilbake. Forbrukerombudet har ved flere anledninger idømt næringsdrivende gebyr som følge av at man ikke har kunnet dokumentere at samtykke er gitt.


4. INGEN REGEL UTEN UNNTAK 4.1 Kontakt via telefon Markedsføringsloven § 15 andre ledd tillater direkte markedsføring per telefon uten forhåndssamtykke. Her kan imidlertid en reservering i Reservasjonsregisteret medføre at forbrukeren likevel ikke kan kontaktes. 4.2 Eksisterende kundeforhold Dersom det foreligger et eksisterende kundeforhold, det vil si ikke et engangskjøp, kan den næringsdrivende markedsføre egne varer eller tjenester uten samtykke. Unntaket gjelder kun for eksisterende kundeforhold og for e-posthenvendelser, sms og mms. Unntaket lemper imidlertid ikke på at opplysningene må være innhentet i samsvar med reglene i personopplysningsloven § 19, hvor blant annet formålet med innsamling av e-postadresse må oppgis. Abonnenter vil typisk oppleve å motta markedsføringshenvendelser knyttet til den næringsdrivendes varer eller tjenester. Ved utsendelse bør den næringsdrivende gjøre mottakeren oppmerksom på at man gebyrfritt kan reservere seg mot slike henvendelser. Dersom virksomheter for eksempel sender ut nyhetsbrev til tidligere kunder, uten at det er innhentet særskilt samtykke til dette, kan dette

være i strid med regelverket. Er et særskilt samtykke ikke innhentet, bør den næringsdrivende vurdere om det fortsatt foreligger et eksisterende kundeforhold, og om det er naturlig med videre kontakt mellom den næringsdrivende og kunden. 5. BRUDD PÅ REGELVERKET Forsettlig og vesentlig brudd på markedsføringsloven § 15 er straffebelagt, og medfører bøter, fengsel inntil 6 måneder eller begge deler. Forbrukerombudet fører tilsyn med at bestemmelsene i markedsføringsloven overholdes ut fra hensynet til forbrukerne, hvor også hensynet til personvernet står sterkt. Det fremgår av Forbrukerombudets hjemmesider at fjernsalg og direktemarkedsføring er blant de høyest prioriterte områdene for ombudet i 2015. Dette innebærer at virksomheter som ønsker å benytte seg av denne type markedsføringshenvendelser, bør sette seg inn i regelverket for å unngå sanksjoner og eventuell dårlig omtale. Forbrukerombudet har vedtakskompetanse og har mulighet til å ilegge virksomheter blant annet overtredelsesgebyr ved forsettlig eller uaktsom overtredelse av markedsføringsloven § 15.

Er e-posten din privat? 33


Ytringsfrihet i sosiale medier Av advokat Ingrid Lauvås ilauvas@eurojuris.no

Ingrid Lauvås er advokat i advokatfirmaet Eurojuris Haugesund AS. Hun jobber hovedsakelig med barneog familiesaker, samt strafferett.

1. INNLEDNING I dagens samfunn foregår det hyppige meningsutvekslinger i sosiale medier. Da grunnlovens § 100 fastslår at vi har ytringsfrihet i Norge, har enhver rett til å fremme sin mening i sosiale medier, dog med noen begrensninger. Trusler, ærekrenkelser og trakassering er like straffbart om det fremkommer i sosiale medier, som ellers i samfunnet. Det ytringsfriheten ikke beskytter mot, er meninger som fremstår som mindre gjennomtenkte. Særlig har dette vist seg den senere tid hvor nordmenn har funnet det nødvendig å kommentere båtflyktningene i Middelhavet. I VG i mars 2015 kunne man bl.a. lese følgende kommentarer: ”La dem bare drukne sier nå jeg, disse lykkejegerne er ikke Italia eller Europa sitt problem (Vi har overhodet ikke plass til dem i vårt system, det er fult opp her). Når de selv er så dumme at de bruker for små båter som de overfyller til de grader er det bare nødt til og gå sånn”. og ”Send dem tilbake der de kom ifra det er jaggu meg ikke vårt problem og hjelpe de som flyter i land i Italia og Hellas. Vi har alt for mange allerede og kan heller sende ut de vi har og begynne og tenke på egen befolkning og deres problemer. NORGE ER IKKE ETT SOSIALKONTOR FOR RESTEN AV VERDEN” 34 Ytringsfrihet i sosiale medier

Dette er ikke nødvendigvis straffbare ytringer, bare fryktelig dumme ytringer. Grunnet grunnlovens § 100 kan derfor de mennesker som står bak disse ytringene, og som tydeligvis mener de er smarte nok for allmenheten til å lese, legge dem ut på nettet. Det som er et større problem, er de gangene ytringene ikke bare viser hvor store kunnskapsmangler ytringspersonen selv har, men hvor ytringen går direkte ut over enkeltpersoner eller grupper, f.eks. mobbing, rasisme og trusler. Grunnet den enkle tilgangen folk har til sosiale medier, fremstår det som om terskelen til å fremme slike ytringer er senket. I 2012 behandlet Høyesterett en sak hvor en blogger ved flere anledninger, hadde ”oppfordret til drap på polititjenestemenn og/eller forherliget en slik handling”. Høyesterett fant at slike ytringer på nett ikke var straffbare da straffebestemmelsen satte krav om at ytringen skulle være offentlig. Da straffeloven stammer fra 1902, ble ikke Internett ansett som en del av offentligheten. Som følge av dommen ble straffeloven endret i 2013, og ytringer via Internett vil nå kunne anses som offentlige. I det følgende velger jeg å gjennomgå enkelte straffebestemmelser som gjør ytringer via sosiale medier straffbare, samt gjennomgå foreldres mulighet til å gå inn på barnets profil.


2. MOBBING, ÆREKRENKELSER, TRUSLER OG HENSYNSLØS ADFERD Facebook og Instagram har satt en aldersgrense på 13 år. Det også ved lov i Amerika. Dersom yngre mennesker i Norge melder seg inn, bryter de ikke norsk lov, kun vilkårene som programvaren har satt. Det betyr at svært unge mennesker kan melde seg inn i de ulike sosiale nettverkene. De ulike menneskene som benytter seg av sosiale medier har svært forskjellig bakgrunn. Det er imidlertid et faktum at det er lite utdanning innenfor nettvett. I 2009 tok Holly Grogan livet sitt etter mobbing på Facebook. Hun ble utsatt for stygge kallenavn og negativ omtale i lang tid og av flere ulike personer. Stygg omtale av konkrete mennesker i sosiale medier vil kunne være straffbart i Norge. Straffeloven § 246 er en bestemmelse som gjør det straffbart å krenke en annens ære. Ytringer som ”krapyl” og ”rasshøl” vil kunne være ytringer som er straffbare etter denne bestemmelsen. Det er viktig å merke seg at denne straffebestemmelsen også omhandler medvirkning. Det innebærer at dersom en har medvirket til at slike krenkelser blir fremmet, kan en bli straffet på lik linje med de som faktisk fremmer dem. Foregår det en meningsutveksling på Facebook der flere

personer girer hverandre opp, mener jeg hele gruppen vil kunne stå ansvarlig for en eventuell ærekrenkelse. 1. oktober 2015 trer den nye straffeloven i kraft. Da vil bestemmelsen om ærekrenkelse forsvinne fra straffeloven, og overføres til skadeserstatningsloven. Konsekvensen av dette er at en ikke kan straffes for ærekrenkelse, men den som føler seg krenket, kan kreve erstatning fra den som har fremsatt krenkelsene. Bakgrunnen for denne endringen i straffeloven er nettopp at ytringsfriheten skal styrkes. Straffeloven § 227 omfatter trusler og fastslår at en kan idømmes bøter eller fengsel ”dersom en i ord eller handling truer med en straffbar handling som kan medføre høyere straff enn 6 måneders fengsel”. Gjennom mobbing kan det komme ytringer som ”jeg skal banke dritten ut av det stygge trynet ditt” eller ”du må faen meg passe deg eller så …” Begge disse uttalelsene vil kunne være straffbare. Det vil bero på en konkret vurdering av det enkelte utsagn om det er en straffbar trussel. Igjen er medvirkning til slike uttalelser også straffbart. Dersom det kun er én person i en gruppe som kommer med trusler, mens de andre i gruppen støtter opp om trusselen, vil de andre kunne dømmes på lik linje med den som rent faktisk ytrer trusselen.

Stygg omtale av konkrete mennesker i sosiale medier vil kunne være straffbart i Norge.

Ytringsfrihet i sosiale medier 35


Straffeloven § 390 a straffer den som ved ”skremmende eller plagsom opptreden eller annen hensynsløs adferd krenker en annens fred”. Hva som er skremmende eller plagsom opptreden, må vurderes i det enkelte tilfellet. Uttalelser som ikke er alvorlige nok til å være en trussel etter straffeloven, vil fort kunne komme inn under denne straffebestemmelsen. Bestemmelsen omhandler dog ikke bare skremmende opptreden, men også plagsom og hensynsløs oppførsel. Dette vil typisk kunne være gjentagende ytringer av negativ karakter. Når det gjelder mobbing i sosiale medier, er det et tankekors at det vil kunne være enkelt å bevise dersom alle er årvåkne. Den som oppdager mobbing, må ta kopi av siden umiddelbart, for å sikre seg dokumentasjon på hva som er sagt. Lagrer en ytringer på Facebook, vil en ha skriftlig dokumentasjon på hva som er skrevet. Om ytringen da er straffbar, har en ingen god sak som forsvarer. 3. RASISME Straffeloven § 135 a er den såkalte rasismeparagrafen som gjør det straffbart å komme med hatefulle ytringer mot noen i det offentlige rom grunnet deres ”a) hudfarge eller nasjonale eller etniske opprinnelse, b) religion eller livssyn, c) homofile legning, leveform eller orientering, eller d) nedsatte funksjonsevne”. Denne bestemmelsen gjelder like sterkt skriftlige ytringer som muntlige. En trenger dog ikke være mye inne på sosiale medier for å se at det er svært mange rasistiske ytringer. 36 Ytringsfrihet i sosiale medier

Europarådet er en mellomstatlig organisasjon med 47 medlemsstater. Organisasjonen arbeider blant annet med å fremme demokrati og menneskerettigheter. Europarådet har uttalt at de er bekymret for rasismen i Norge og krever en atskillig tyngre satsing mot hatprat og trusler på nett enn det som er tilfellet i dag. Her har politiet en lang vei å gå. Med de ressurser politiet sitter med i dag, har de ikke mulighet til å følge opp alle de ytringer som befinner seg i sosiale medier. Ytringene er likevel akkurat like straffbare selv om politiet ikke klarer å fange opp alle, og de skal bekjempes i sosiale medier. Her er det viktig å huske på at ytringer ofte blir liggende i full offentlighet. Frem til den straffbare ytringen eventuelt er foreldet, vil den da være straffbar. Sosiale medier er altså ikke et grenseløst ytringsforum. En må forholde seg til de regler som gjelder ellers i livet, selv om de sosiale mediene nok er litt for tilgjengelige til at konsekvenstenkingen får tid til å slå inn; en handler før en tenker. Det er imidlertid ingen straffefritaksgrunn. 4. FORELDRE De som er foreldre, må sette seg inn i barnets forhold til sosiale medier. Selv om jentungen kun er 15 år, og fortsatt bor på jenterommet, kan hun likevel gjennomføre en straffbar handling i sosiale medier. Det er svært vanskelig for foreldre å ha full oversikt i sosiale medier. Enkelte vil også hevde det kan være straffbart å gå inn på barnets profiler, da sett hen til barnekonvensjonen art. 19 som gir barnet rett til privatliv. Bestemmelsen sikrer at ingen barn


”skal utsettes for vilkårlig eller ulovlig innblanding i sitt privatliv, sin familie, sitt hjem eller sin korrespondanse”. Som et utgangspunkt vil da ikke foreldre ha rett til å gå inn på barnets e-post eller sosiale medier. Bestemmelsen må ses i sammenheng med barnekonvensjonens art. 5 som fastslår at ”partene skal respektere det ansvar og de rettigheter og forpliktelser som foreldre har for å gi det veiledning og støtte, tilpasse dets gradvise utvikling av evner og anlegg, under barnets utøvelse av rettighetene anerkjent i denne konvensjonen”. Denne bestemmelsen samsvarer med barnelovens egen bestemmelse om foreldreansvar som er nedfelt i barneloven § 30. Bestemmelsen fastslår at ”barnet har krav på omsut og omtanke frå dei som har foreldreansvaret. Dei har rett og plikt til å ta avgjerder for barnet i personlege tilhøve innanfor dei grensene som §§ 31 til 33 set. Foreldreansvaret skal utøvast ut frå barnet sine interesser og behov. Dei som har foreldreansvaret, er skyldige til å gje barnet forsvarleg oppseding og forsyting. Dei skal syte for at barnet får utdanning etter evne og givnad.”

Ut fra de farer som ligger i å være tilknyttet et sosialt nettverk, mener en at det ligger innenfor oppgaven til en forelder å være kjent med hva barnet foretar seg, også i sosiale medier. Det er derfor ikke straffbart å gå inn på barnets profil dersom det er i egenskap av å ivareta barnets egne interesser. Undertegnede mener tvert om at en ikke følger opp sitt ansvar som forelder dersom en ikke går inn på barnets profil om en mistenker at barnet foretar seg noe straffbart, eller selv blir utsatt for straffbare handlinger. 5. YTRINGENS MOTTAKER Flere ytringer som blir lagt ut på sosiale medier, har konkrete mottakere. En kan imidlertid fort miste eierskap over egne ytringer så snart de blir lagt ut på sosiale medier. Ytringer en selv formidler, kan derfor rekke lenger enn det en selv hadde tenkt i utgangspunktet. Dette ufarliggjør på ingen måte ikke ytringen, men understreker nettopp det faktum at en skal være varsom med hvilke ytringer en velger å dele på sosiale medier.

Ytringsfrihet i sosiale medier 37


Om rett til innsyn i offentlig eide bedrifters saksdokumenter Av advokat Inge A. Fredriksen inge.fredriksen@nordialaw.com

Inge A. Fredriksen er par tner og advokat i Advokatfirmaet NORDIA DA. Hans hovedarbeidsfelt er rådgivning til offentlig eide foretak, særlig energibedrifter, spesiell for valtningsrett og konsesjonsrett, selskapsrett, kontrakter mellom forbrukere og offentlige foretak, erstatningsrett og kontraktsrett.

1. OM OFFENTLEGLOVA Lov om rett til innsyn i dokument i offentleg verksemd (offentleglova) av 19. mai 2006 nr. 16 avløste tidligere lov av 19. juni 1970 nr. 69 om offentlighet i forvaltningen. Den nye offentleglova omfatter flere virksomheter, og den styrker og utvider innsynsretten på flere områder i forhold til 1970-loven. Adgangen til å gjøre unntak fra innsyn er innsnevret, og den som krever innsyn, har fått en sterkere stilling under saksbehandlingen av innsynskravet. Offentleglova gjelder for alle offentlige organer om ikke loven bestemmer annet. Loven gjelder også for selvstendige rettssubjekt hvor det offentlige har en dominerende posisjon i kraft av eierskap eller styring, men ikke hvor disse hovedsakelig driver næring i direkte konkurranse med og på samme vilkår som private. Begrunnelsen for at selvstendige rettssubjekt omfattes av loven, er at virksomheten i realiteten er forvaltning av offentlig kapital og ressurser. Hvilken organisasjonsform offentlige eiere velger for virksomhetene, skal ikke ha noe å si for retten til innsyn. Offentleglova bruker begrepet ”organ” som benevnelse for disse virksomhetene. 2. FORMÅLET MED LOVEN Etter lovens § 1 er formålet med loven:

”å leggje til rette for at offentleg verksemd er open og gjennomsiktig, for slik å styrkje informasjons- og ytringsfridommen, den demokratiske deltakinga, rettstryggleiken for den enkelte, tilliten til det offentlege og kontrollen frå ålmenta. Lova skal òg leggje til rette for vidarebruk av offentleg informasjon.” 3. HVA OMFATTER INNSYNSRETTEN? Hovedregelen er at innsynsretten gjelder for saksdokumenter, journaler og lignende registre for organet. Saksdokumenter i offentlig virksomhet er offentlige. Det kan ikke gis løfte om fortrolig saksbehandling, eller om at innsyn vil bli nektet, med mindre det er lovhjemlet taushetsplikt for opplysningene eller dokumentene. Loven gir alle rettskrav på å få gjøre seg kjent med dokumenter. Alle kan kreve innsyn, og ”alle” skal forstås bokstavelig. Hvem som helst kan kreve innsyn, både på egne og andres vegne. Formålet med innsynskravet har ingenting å si for retten til å se dokumentet. Den som krever innsyn, oppgir vanligvis navn, men innsyn kan kreves anonymt. Den som krever innsyn, behøver ikke gi flere opplysninger enn det som er nødvendig for å gjennomføre innsynsretten, som for eksempel e-postadresse eller faksnummer for oversendelse av dokumentene.

38 Om rett til innsyn i offentlig eide bedrifters saksdokumenter


Offentleglova pålegger som hovedregel ikke organer offentliggjøring av eget tiltak. Den som vil bruke innsynsretten, må ta initiativet og rette krav om innsyn. I spesielle tilfeller pålegger imidlertid loven offentliggjøring av eget tiltak, for eksempel ved bestemmelsene om offentlig elektronisk postjournal. 4. HVA ER ET SAKSDOKUMENT? Begrepet saksdokument er definert i offentleglova § 4. For at et dokument som er kommet inn til eller lagt frem for et organ, skal regnes som et saksdokument for organet, er det et vilkår at dokumentet etter sitt innhold gjelder ansvarsområdet eller virksomheten til organet.

I offentleglova § 4, 3. ledd er det listet opp noen dokumenttyper som ikke regnes som saksdokumenter for organer. I tillegg til dokumenter som en medarbeider mottar i annen egenskap enn som ansatt i organet (bokstav e), gjelder dette: • dokument som inngår i bibliotek- eller museums samling, • dokument som private har overlatt til offentlig arkiv for bevaring, • dokument som er overlatt til et organ for offentliggjøring i periodisk skrift som blir gitt ut av organet, og

Loven gir alle rettskrav på å få gjøre seg kjent med dokumenter. Alle kan kreve innsyn, og ”alle” skal forstås bokstavelig.

Om rett til innsyn i offentlig eide bedrifters saksdokumenter 39


• avis, tidsskrift, reklamemateriell og lignende som organet mottar uten at det er knyttet til en bestemt sak i organet. Normalt vil det være enkelt å avgjøre hva som er saksdokument for organet, men i noen tilfeller kan det likevel oppstå tvil om hva som omfattes. Kravet om innsyn må gjelde et dokument. Med dokument menes en logisk avgrenset informasjonsmengde som er lagret på et medium for senere lesing, lytting, framsyning, overføring eller liknende. Dokument-begrepet er teknologi- og informasjonsnøytralt. Det har ikke betydning hvordan informasjonen er lagret, eller hvordan den kommer til uttrykk, for eksempel som tekst, lyd, bilde eller en modell. Informasjonen må være lagret på en måte som muliggjør gjenfinning. Definisjonen dekker både tradisjonelle papirdokumenter, inkludert kart, skisser og fotografier, informasjon som er lagret elektronisk, og mikrofilm, lydbånd eller video. Også multimediedokumenter, som inneholder en kombinasjon av tekst, lyd og bilde, vil være omfattet av definisjonen. Det kan oppstå spørsmål om hva som skal regnes som ett dokument. Behovet for å avgjøre hva som er ett eller flere dokumenter kan gjøre seg gjeldende når det er aktuelt å benytte en av unntaksbestemmelsene som knytter unntaksadgangen til

det enkelte dokument i en sak, og ellers når det gjelder offentleglova § 12 om unntak for resten av dokumentet dersom unntaksadgangen er knyttet til opplysninger i eller til deler av et dokument. Avgrensing av hva som er ett dokument, kan by på utfordringer for informasjon i registre og databaser. Man må holde fast ved at dokumentbegrepet er teknologi- og informasjonsnøytralt, og at informasjon i registre og databaser dermed ikke står i noen annen stilling enn annen informasjon. Spørsmålet må derfor avgjøres ut fra hva som utgjør en logisk avgrenset informasjonsmengde. Avhengig av hvordan registre eller databaser er ordnet, kan de inneholde en rekke dokumenter eller bare ett dokument. Når registre eller databaser inneholder mange dokumenter, vil reguleringene i offentleglova §§ 9 og 28, 2. ledd også kunne avgjøre i hvor stor grad det i praksis vil være mulig å kreve eller få innsyn i informasjon i flere dokumenter samtidig. Retten til innsyn er som den klare hovedregel avgrenset til å gjelde dokumenter som alt eksisterer når innsynet kreves. Organet har som hovedregel ikke plikt til å utarbeide nye dokumenter på bakgrunn av et innsynskrav. Etter offentleglova § 9 vil organ som får innsynskrav som ikke kan etterkommes fordi

Innsyn kan ikke kreves før et dokument er lagt fram for eller kommet inn til virksomheten, eller dokumentet er opprettet av virksomheten.

40 Om rett til innsyn i offentlig eide bedrifters saksdokumenter


opplysningene ikke finnes samlet, ha plikt til å etablere et nytt dokument med sammenstilling av opplysningene fra databasene dersom organet har opplysningene spredt i forskjellige databaser. Plikten gjelder bare dersom opplysningene finnes elektronisk i databaser og sammenstillingen kan gjøres med enkle kommandoer. 5. NÅR KAN DET KREVES INNSYN? Innsyn kan ikke kreves før et dokument er lagt fram for eller kommet inn til virksomheten, eller dokumentet er opprettet av virksomheten. ”Opprettet av virksomheten” kan bety når det er ferdigstilt, eller dersom det skal sendes, når det er sendt ut fra virksomheten. 6. UTSATT INNSYN Loven regulerer tre forskjellige situasjoner som kan utsette tidspunktet for retten til innsyn. Innsyn for alle dokumentene i en sak kan utsettes dersom det er grunn til å tro at ”dei dokumenta som ligg føre, gir eit direkte misvisande bilete av saka, og at innsyn derfor kan skade klare samfunnsmessige eller private interesser.” Innsynstidspunktet for et dokument kan utsettes inntil dokumentet har kommet frem til den det vedkommer, eller hendelsen der det skal offentliggjøres, har funnet sted, dersom vesentlige private eller offentlige hensyn tilsier det.

7. JOURNALER I tillegg til innsyn i dokumenter har alle rett til innsyn i journaler og lignende registre. Virksomheter som er omfattet av offentleglova, skal føre journal etter reglene i arkivlova med forskrifter. Journalføringsplikten gjelder også for virksomheter som ikke er omfattet av virkeområdet for arkivlova, dvs. for organer som er omfattet av offentleglova § 2,1. ledd bokstav c eller d. Arkivforskriften inneholder nærmere regler om adgangen til å gjøre unntak for opplysninger i den offentlig tilgjengelige journalen. Dersom det ikke er mulig å registrere et dokument uten å røpe opplysninger som er undergitt lovhjemlet taushetsplikt, eller som det ellers kan gjøres unntak for innsyn fra, må organet nøytralisere eller utelate enkeltopplysninger i den offentlige journalen. Når dokumentet med slike opplysninger journalføres, er det derfor ikke tilstrekkelig å ta hensyn til den enkelte journalføringen. Organet må også sikre at det ikke blir mulig å finne fram til taushetspliktige opplysninger ved å koble journalføringer mot informasjon andre steder, for eksempel mot tidligere journalføringer. Kunderegistre kan derfor ikke være en type journal/register som er omfattet av innsynsrett.

Om rett til innsyn i offentlig eide bedrifters saksdokumenter 41


8. INTERNE DOKUMENTER OG BAKGRUNNSMATERIALE Ikke alle dokumenter lages fordi de skal sendes ut fra organet. Enkelte dokumenter skal eksempelvis bare tjene som bakgrunnsmateriale ved intern saksbehandling, for eksempel notater som inneholder saksopplysninger, vurderinger og råd fra en avdeling eller en saksbehandler, og som blir sendt til ledelsen, en annen avdeling eller en annen saksbehandler. Slike dokumenter, som ikke skal sendes ut, skal etter offentleglova § 4 andre ledd tredje punktum regnes som saksdokumenter når de er ferdigstilte. Et dokument vil som regel kunne regnes som ferdigstilt når det ikke lenger er aktuelt å gjøre endringer eller tilføyelser i det. Selv om slike dokumenter vil være saksdokumenter som er omfattet av hovedregelen om innsynsrett, vil det ofte være adgang til å gjøre unntak etter bestemmelsen om organinterne dokumenter i offentleglova § 14. 9. MERINNSYN Merinnsyn innebærer å gi innsyn der det er lovhjemmel for å nekte innsyn, men der hensynet til offentlig innsyn vurderes å veie tyngre enn unntaksbehovet. I offentleglova § 11 stilles det krav til at organet skal vurdere merinnsyn, men plikten gjelder bare for dokumenter eller opplysninger som forvaltningen kan nekte innsyn i. Organet må ha saksbehandlingsrutiner slik at merinnsyn faktisk blir vurdert.

For dokumenter som inneholder opplysninger som er underlagt lovbestemt taushetsplikt, kan organet ikke gi merinnsyn så langt taushetsplikten rekker. 10. UNNTAK FRA INNSYNSRETTEN Innsyn i et dokument skal nektes når det er hjemmel for dette i lov. Unntakene fra innsynsretten kan gå frem av offentleglova selv, av forskrifter gitt i medhold av loven, andre lover eller av forskrifter gitt med hjemmel i andre lover. Taushetsplikt eller konfidensialitet avtalt i kontrakt (uten at dette også er lovhjemlet) er ikke rettslig grunnlag for å nekte innsyn. Offentleglova inneholder to typer unntak fra hovedregelen: • Unntaksbestemmelsene i offentleglova §§ 14 til 26 gir organet rett, men ikke plikt, til å nekte innsyn i bestemte opplysninger eller dokumenter. • Unntaksbestemmelsene i offentleglova § 13, 1. ledd slår fast at organet skal nekte innsyn i opplysninger som er underlagt taushetsplikt i lov eller i medhold av lov. I henhold til forarbeidene er det ikke god skikk å forhåndspåstemple eller -påføre paragrafhenvisninger som gir anledning til å nekte innsyn før det har kommet et innsynskrav. Forhåndsklassifisering

42 Om rett til innsyn i offentlig eide bedrifters saksdokumenter


bør bare gjøres for dokumenter eller opplysninger der det er klart at det foreligger taushetsplikt, eller der det er på det rene at det kan gjøres unntak, og at det ikke er aktuelt med merinnsyn. 10.1 Unntak for organinterne dokumenter For at det skal kunne gjøres unntak etter offentleglova § 14,1. ledd, må dokumentet være internt, noe som innebærer at det som hovedregel ikke kan være sendt ut av organet. Unntaket i offentleglova § 14, 1. ledd gjelder bare dokumenter utarbeidet til saksforberedelsen. Det vil si at det vil gjelde for forslag, utkast, konsept, skisser, utredninger og lignende arbeidsdokumenter som blir utarbeidet underveis i prosessen. Generelle hjelpedokumenter som er utarbeidet til intern bruk, kan være omfattet av unntaket. Eksempler er generelle vurderinger, statistikker og kostnadsanalyser. Unntaket i offentleglova § 14, 1. ledd gjelder ikke for dokument eller del av dokument som inneholder den endelige avgjørelsen til organet i en sak, generelle retningslinjer for saksbehandlingen til organet, og presedenskort og lignende, men ikke dersom kortet gjengir organinterne vurderinger. I vurderinger etter offentleglova § 14, 1. ledd regnes hvert enkelt selvstendige rettssubjekt som ett organ. Innenfor et konsern vil dermed hvert enkelt selskap være ett organ. Korrespondanse mellom konsernselskap vil dermed aldri kunne holdes utenom innsyn etter offentleglova § 14, 1. ledd. For at offentleglova § 14, 1. ledd skal gjelde, må det aktuelle dokumentet være utarbeidet av organet selv. Dette innebærer at dokumenter som er utarbeidet av eksterne personer eller organer, ikke er omfattet av unntaket, selv om

dokumentene blir brukt og inkludert i den interne saksforberedelsen. Det er derimot ikke til hinder for å nekte innsyn at et dokument inneholder opplysninger som er innhentet eller kommet inn fra utenforstående, så lenge selve dokumentet er utarbeidet av organet. Unntakene i offentleglova §§ 14 og 15 gir forvaltningen en rett, men ingen plikt, til å gjøre unntak dersom vilkårene i reguleringene er oppfylt. For dokument eller del av dokument som det kan nektes innsyn i etter disse reguleringene, skal det vurderes å utøve helt eller delvis merinnsyn. 10.2 Unntak for rettssaksdokumenter Offentleglova § 18 gir adgang til å gjøre unntak fra innsyn for dokumenter som et organ har utarbeidet eller mottatt som part i rettssak for norsk domstol. Bestemmelsen gir adgang til å gjøre unntak for hele dokumenter. Slike dokumenter er imidlertid omfattet av journalføringsplikten og plikten til å vurdere merinnsyn. 10.3 Unntak som følge av nasjonale forsvarsog sikkerhetsinteresser Offentleglova § 21 gir anledning til å gjøre unntak fra innsyn for opplysninger ut fra nasjonale sikkerhetshensyn eller forsvaret av landet. Bestemmelsen hjemler nekting av innsyn i dokumenter som gjelder nasjonale sikkerhetshensyn eller forsvaret av landet i snever forstand. Dokumenter med opplysninger om for eksempel samfunnsmessig vital infrastruktur, faller i stor grad utenfor virkeområdet til bestemmelsen i offentleglova § 21. Hemmelighold av opplysninger om slike forhold må enten hjemles i offentleglova § 24 eller i taushetspliktbestemmelser i særlovgivningen.

Om rett til innsyn i offentlig eide bedrifters saksdokumenter 43


10.4 Unntak som følge av det offentliges forhandlingsposisjon mv. Unntakene i offentleglova § 23 har til felles at de skal verne om det offentliges økonomiske interesser, typisk i forhandlinger og forretningsmessige forhold. Dersom bare andres interesser blir skadelidende ved innsyn, kan ikke unntaket brukes. Offentleglova § 23 verner ikke interessene til private. Etter offentleglova § 23, 1. ledd kan det gjøres unntak fra innsyn for opplysninger når dette er påkrevet av hensyn til en forsvarlig gjennomføring av økonomi-, lønns- eller personalforvaltning for organet. Unntaket verner om de privatøkonomiske interessene til organet i forhandlingssituasjoner, og gjelder både ved kjøp og salg og ved avtaleforhandlinger mer generelt. Også opplysninger i saker som gjelder erstatningskrav mot det offentlige, vil kunne være omfattet av dette unntaket. Det er et vilkår for å kunne gjøre unntak at de aktuelle opplysningene har et konkurranseaspekt. Derfor vil saker som gjelder den interne økonomiforvaltningen, som budsjettsaker, ikke være omfattet. Offentleglova § 23,1. ledd gir adgang til å gjøre unntak når dette er påkrevet av hensyn til forsvarlig gjennomføring av personalforvaltningen

til organet, og gjelder i lønnsforhandlinger, både ved kollektive og individuelle forhandlinger. Dette alternativet kan gi grunnlag for unntak også for opplysninger i forbindelse med forhandlinger som ikke direkte har å gjøre med de økonomiske interessene til organet, for eksempel forhandlinger som gjelder arbeidstidsordninger. Unntaket vil også kunne omfatte opplysninger som gjelder konflikter på arbeidsplassen, men kan bare brukes for å verne om interessene til organet. Etter offentleglova § 23 tredje ledd kan det gjøres unntak fra innsyn for tilbud og protokoller etter regelverk gitt i medhold av lov av 16. juli 1999 nr. 69 om offentlige innkjøp, inntil valg av leverandør er gjort. 10.5 Unntak for innsyn i dokumenter om lovbrudd Anmeldelser, tips eller lignende dokumenter om lovbrudd kan det gjøres unntak for etter offentleglova § 24, 2. ledd, 1. punktum, uten tidsavgrensing. Andre dokumenter om lovbrudd kan det etter offentleglova § 24, 2. ledd, 2. punktum gjøres unntak for inntil saken dokumentene gjelder, er avgjort. Både etter offentleglova § 24, 2. ledd 1. og 2. punktum er det et vilkår for å gjøre unntak at dokumentet gjelder brudd på formell lov. Det kreves ikke at det er et straffesanksjonert lovbrudd. Bestemmelsene omfatter også doku-

44 Om rett til innsyn i offentlig eide bedrifters saksdokumenter


menter om lovbrudd som bare er undergitt administrative eller tjenstlige sanksjoner. 10.6 Unntak for opplysninger som kan utsette enkeltpersoner for fare Etter offentleglova § 24 er det adgang til å gjøre unntak for opplysninger dersom innsyn utsetter enkeltpersoner for fare. Opplysninger som er omfattet av denne bestemmelsen, vil ofte også kunne være omfattet av lovbestemt taushetsplikt. Unntaket gjelder ikke bare ved kildevern. Det kan også brukes på alle opplysninger der innsyn vil kunne utsette en enkeltperson for fare. Eksempel vil være der organet sitter på opplysninger om at en enkeltperson har stelt seg på en slik måte at han kan bli utsatt for represalier fra et kriminelt miljø eller fra regimet i en diktaturstat. Unntaket vil gjelde uavhengig av hvor personen som skal vernes, oppholder seg, og uavhengig av hvem faren truer fra. 10.7 Unntak for ansettelsessaker, men ikke søkerlisten Etter offentleglova § 25, 1. ledd kan det gjøres unntak fra innsyn for dokument i sak om ansettelse eller forfremmelse. Unntaksadgangen omfatter i utgangspunktet alle dokumenter i saken, utenom søkerlisten, som er særskilt regulert i andre ledd. Det vil således være adgang til å gjøre unntak fra innsyn både for søknader, referat fra intervju, vurderinger av søkerne og innstillingen. Selve vedtaket om ansettelse eller forfremmelse og den endelige arbeidsavtalen er ikke omfattet av unntaket. 11. OFFENTLEGLOVA – PERSONOPPLYSNINGSLOVEN Offentleglova påbyr organet å gi innsyn om ikke taushetsplikt er lovfestet.

Personopplysningsloven pålegger enheter som har elektroniske personregistre, å ha systemer for internkontroll og informasjonssikkerhet rundt de personopplysninger som behandles, slik at personopplysninger ikke kommer på avveie. Et paradoks, eller kanskje ikke? Et godt internkontrollsystem med informasjonssikkerhet for personopplysningene i kunderegisteret er avgjørende for å unngå å gjøre feil når innsynskrav skal behandles. 12. BEHANDLING AV INNSYNSKRAV Det er ingen formkrav til innsynskrav, jf. pkt. 4 foran. Innsynskravet må gjelde en bestemt sak – eller i rimelig utstrekning saker av en bestemt art. Sakene må være identifiserte, og innsynskravet må være såpass presist angitt at organet kan finne fram til den uten at det er urimelig arbeidskrevende. Organet har en viss rettledningsplikt for å hjelpe til med å identifisere saken eller dokumentet. Organet må avgjøre, etter loven og på selvstendig grunnlag, om det skal, kan eller bør nekte innsyn i et dokument eller i opplysninger. Krav om innsyn i dokumenter/opplysninger som organet ikke har, avvises. Organet har en viss veiledningsplikt dersom man vet hvor vedkommende kan henvende seg for å få dokumentet/opplysningen. 12.1 Innsynskrav i graderte dokumenter I henhold til offentlighetsforskriften skal organet som mottar innsynskrav vedrørende dokument som er gradert etter sikkerhetsloven eller beskyttelsesinstruksen, legge spørsmålet om avgradering fram for det organet som har opprettet dokumentet. Dette organet skal ta avgjørelse om eventuell avgradering, og skal i tilfelle foreta dette i henhold til forskrift av 1. juli 2001 nr. 744 om informasjonssikkerhet § 2-13 eller i henhold til beskyttelsesinstruksen i § 5.

Om rett til innsyn i offentlig eide bedrifters saksdokumenter 45


Forespørsel om avgradering er ikke relevant dersom det også er lovbestemt taushetsplikt om opplysningene. Da skal organet nekte innsyn i hele dokumentet. For øvrig (utenom når dokumentet er gradert) er organet ikke avhengig av avsenderorganets standpunkt til innsynsspørsmålet. Organet skal gjøre en selvstendig vurdering. Bemyndiget til å avgjøre innsynskrav skal utpekes i organet, og organet må etablere rutiner for saksbehandlingen av innsynskrav. 12.2 Innsynskrav avgjøres ”uten ugrunnet opphold” Hva som regnes som ”grunnet opphold”, vurderes konkret ut fra vanskelighetsgraden innsynskravet reiser, hvilket omfang kravet har, og hvilken arbeidsmengde organet ellers har. Innsynskravet skal avgjøres så snart som det er praktisk mulig. Vanlige krav bør avgjøres samme dag som de er mottatt, eller i alle fall innen én til tre virkedager. Det kan brukes mer tid til saksbehandlingen dersom undersøkelser er nødvendig, dersom innsynskravet reiser vanskelige og tvilsomme spørsmål, eller dersom kravet gjelder store eller mange dokumenter, og dette derfor medfører mye arbeid. Dersom innsynskrav fordrer lengre saksbehandlingstid, er det god skikk å varsle kravstilleren om dette. 13. HVORDAN GI INNSYN? Hovedregelen er at den som krever innsyn, har rett til kopi, dvs. papirkopi eller elektronisk kopi, som pdf-fil eller lignende. Ingen har krav på elektronisk kopi av materiale som tredjeperson har immaterielle rettigheter til.

Kopi av journaler og dokumenter som er levert til arkivdepot, kan heller ikke kreves. Det kan ikke kreves papirkopier av dokumenter som er i så dårlig stand at de kan bli skadet eller ødelagt ved kopiering, men om innsyn kan gis hos organet, bør dette gis. Loven gir ikke rett til å låne dokumenter og ta dem med seg for å gå gjennom dem. Deler av dokument som det ikke gis innsyn i, må sladdes eller blankes slik at det kan ses i dokumentet hvor store deler som er unntatt innsyn. Det kan også opplyses om hvor mange sider som er omfattet av unntaket. 14. AVSLAG OG KLAGEINSTANS Om krav om innsyn er framsatt muntlig, må avslag sendes på samme måten som om det var bedt om å få tilsendt dokumentene. Et avslag skal alltid vise til den presise lovhjemmelen for avslaget. Ledd, punktum, bokstav eller nummer i lov-/forskriftsbestemmelsen som er benyttet, skal angis. Dersom avslaget er begrunnet med taushetsplikt på grunn av personlige forhold, skal det ikke opplyses om omstendighetene som begrunner taushetsplikten. Avslag skal orientere om klagemulighet og klagefrist (3 uker). For virksomheter som omfattes av offentleglova § 2, 1. ledd, bokstav c og d, er fylkesmannen klageinstans. Har ikke den som har krevd innsyn, fått svar innen 5 arbeidsdager, regnes det som et avslag som kan påklages. Vedtak i klageinstansen (om at det skal gis innsyn) kan tvangsfullbyrdes etter reglene i tvfl. kap. 13.

46 Om rett til innsyn i offentlig eide bedrifters saksdokumenter


Eurojuris Nord

Eurojuris Nord består av Eurojuris Harstad og Advokatfirma Storø i Narvik Eurojuris Nord har til sammen sju advokater og én advokatfullmektig, og er ett av de største advokatmiljøene i Nord-Norge med kontor i Harstad og i Narvik. Vår kompetanse, kapasitet, kvalitet, lange erfaring og lokalkunnskap gjør at vi sammen kan håndtere store og krevende oppdrag, og finne de beste løsningene for våre kunder.

Telefon Harstad: 77 00 21 00 Telefon Narvik: 75 80 34 00 Web: www.eurojurisnord.no

A

D

V

O

K

A

T

F

E

L

L

E

S

S

K

A

P

E

T

NORd

47


Advokatfirmaet Eurojuris Harstad Telefon: 77 00 21 00 E-post: harstad@eurojuris.no

Advokatfirmaet Tollefsen, Sogndal Telefon: 57 62 88 50 E-post: post@advokat-tollefsen.no

Advokatfirmaet Alver, Lillehammer/Gjøvik Telefon: 61 26 87 00 E-post: firmapost@alver.as

Advokatfirma Storø, Narvik Telefon: 75 80 34 00 E-post: narvik@eurojuris.no

Advokatfirmaet Stiegler, Bergen Telefon: 55 21 54 00 E-post: bergen@eurojuris.no

Advokatfirmaet Nordia, Oslo Telefon: 23 10 30 00 E-post: oslo@nordialaw.com

Angell Advokatfirma, Bodø Telefon: 75 54 45 00 E-post: bodo@eurojuris.no

Advokatfirmaet Eurojuris Haugesund Telefon: 52 70 10 30 E-post: haugesund@eurojuris.no

Svensson Nøkleby Advokatfirma, Drammen Telefon: 32 25 55 00 E-post: drammen@eurojuris.no

ADNOR Advokat, Trondheim Telefon: 73 99 09 00 E-post: advokat@adnor.no

Projure Advokatfirma, Stavanger/Bryne Telefon: 51 85 84 00 E-post: stavanger@projure.no

Advokatfirmaet Frøstrup Løitegaard, Porsgrunn Telefon: 35 93 19 00 E-post: firmapost@lov.as

Larhammer Aarseth Advokatfirma, Molde Telefon: 71 19 16 00 E-post: molde@eurojuris.no

Advokatfirma Tofte, Kristiansand Telefon: 38 17 70 00 E-post: post@advtofte.no

Advokatfirmaet Ytterbøl & Co, Sarpsborg Telefon: 69 16 18 00 E-post: sarpsborg@ytterbol.com Fredrikstad Telefon: 69 36 60 00 E-post: fredrikstad@ytterbol.com

www.eurojuris.no Returadresse: Eurojuris Norge AS Postboks 294 Bragernes, 3001 Drammen

Foto: Dreamstime - Produksjon: kveldsskiftet

Finn ditt lokale Eurojuris-kontor

Profile for Eurojuris Norge AS

Eurojuris Informerer nr. 2 2015  

7 artikler som omhandler personvern

Eurojuris Informerer nr. 2 2015  

7 artikler som omhandler personvern

Profile for eurojuris