Behandlingsgrunnlag

Bruk av eID har med samfunnsutviklingen blitt en grunnpilar for samhandling i digitale tjenester. En offentlig ansatt må med ulik frekvens og avhengig av stillingen regne med å måtte identifisere seg digitalt, og på en sikker måte, under utførelsen av sine arbeidsoppgaver. Dette vil i mange tilfeller være et saklig formål for å behandle personopplysninger.

Arbeidsgiver må videre foreta en konkret vurdering av om arbeidsoppgavene til den enkelte gjør det nødvendig å benytte eID med den underliggende persondatabehandlingen det medfører. Det kan for eksempel være behov for å identifisere seg mot en bestemt tjeneste i arbeidet, og eID ansees ofte som et egnet og nødvendig middel for å oppnå det formålet.

Vi kan her se på to typetilfeller: 1) Der sikkerhetsnivået bestemmes av en ekstern tjenesteeier, og 2) Der sikkerhetsnivået bestemmes av arbeidsgiver.

1. Sikkerhetsnivået er bestemt av ekstern tjenesteeier. Vurderingen av om det er nødvendig med bruk av eID på sikkerhetsnivå «betydelig» eller «høyt» kan sees i sammenheng med behovet for å benytte bestemte tjenester som krever disse sikkerhetsnivåene i arbeidet. I en del tilfeller vil ikke arbeidsgiver kunne påvirke sikkerhetsnivået til en tjeneste, eller med rimelighet kunne sies å ha tilgang til gode alternative tjenester. Bruk av eID vil da ofte være nødvendig.
2. Sikkerhetsnivået er under arbeidsgivers kontroll. Dersom arbeidsgiver kan bestemme sikkerhetsnivået i tjenesten den ansatte skal identifisere seg mot, må arbeidsgiver gjøre en vurdering av om det er nødvendig med eID på et bestemt sikkerhetsnivå. I disse tilfellene kan man vurdere om formålet om sikker nok identifisering av den ansatte kan oppnås med andre midler, for eksempel brukernavn og passord, og at bruk av eID ikke alltid er nødvendig.

Typetilfellene over er ikke ment å være uttømmende og det finnes flere ulike scenarioer som berettiger bruk av eID i arbeidet. Arbeidsgiver som behandlingsansvarlig må i alle tilfeller ha foretatt en nødvendighetsvurdering av om arbeidsoppgavene til den enkelte forutsetter bruk av eID (og tilhørende behandling av personopplysninger).

I veilederen forutsettes det at denne vurderingen vil være til dels sammenfallende med vurderingen av om det foreligger et saklig behov under Arbeidsgivers styringsrett.

Selv om behandlingen av personopplysninger ved innlogging med eID anses som nødvendig for å oppnå et saklig formål, må det foretas en interesseavveining - der ansattes interesser, rettigheter og friheter veies opp imot virksomhetens berettigede interesser for å behandle opplysningene til ovenfor nevnte formål. I den sammenheng bør en merke seg at sikker og entydig digital identifisering kan være i både virksomhetens og den ansattes interesse - av hensyn til informasjonssikkerhet, datakvalitet og for å sikre at rett ansatt gis riktig tilgang. I avveiningen kan det også være av betydning om behandlingen skjer ved bruk av privat eID og via utstyr som arbeidsgiver ikke har råderett over.

GDPR art. 6 nr. 1 bokstav f må videre ses i sammenheng med art. 21, som gir den registrerte rett til å protestere mot bestemte former for behandling etter dette behandlingsgrunnlaget. Den ansatte må også informeres om retten til å protestere.

Dersom den ansatte motsetter seg behandlingen som forutsettes ved bruk av eID, kan behandlingen likevel igangsettes dersom det foreligger tvingende berettigede grunner, som går foran den registrertes interesser, rettigheter og friheter. I dette ligger at ved en eventuell protest fra den registrerte må det foretas en ny vurdering, ikke helt ulik den som foretas etter GDPR art. 6 nr. 1 bokstav f. At det kreves «tvingende» berettigede grunner, tilsier at terskelen i denne omgang er høyere.

En tvingende berettiget interesse kan kanskje være at behovet for sikker identifisering er så stort at det ikke kan tilfredsstilles på annen måte enn ved bruk av eID, og at den tilhørende behandlingen av personopplysninger dermed er berettiget.

I GDPR artikkel 6 nr. 1 siste ledd er det inntatt en særskilt begrensning som innebærer at art. 6 nr. 1 bokstav f ikke kan benyttes som behandlingsgrunnlag for behandling av personopplysninger som ledd i offentlig myndighetsutøvelse. Offentlige virksomheter anses ikke å utøve offentlig myndighet når de opptrer som arbeidsgiver. Begrensningen kommer normalt ikke til anvendelse ved bruk av eID i offentlig forvaltning, ettersom offentlige virksomheter i denne sammenheng opptrer som arbeidsgivere for sine ansatte.

GDPR artikkel 6 nr. 1 bokstav e angir at behandling av personopplysninger er lovlig, dersom behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt.

Som et utgangspunkt ansees utøvelse av offentlig myndighet å forutsette bruk av den myndigheten organet er gitt i eller i medhold av lov (supplerende rettsgrunnlag). Myndighetsutøvelsen kan også følge av annet supplerende rettsgrunnlag enn lovpålegg, herunder nasjonale rettsregler som pålegger organet plikter.

Det utøves normalt ikke offentlig myndighet når offentlige organer opptrer som arbeidsgiver, og i disse tilfellene er alternativet i artikkel 6 nr. 1 bokstav e ikke et anvendelig behandlingsgrunnlag.

Det finnes tilfeller der artikkel 6 nr. 1 bokstav e med supplerende rettsgrunnlag kan være behandlingsgrunnlag for ansattes opplysninger, og dette må arbeidsgiver vurdere i det konkrete tilfellet. Tilsvarende som for de behandlingene som er dekket av art. 6 nr. 1 bokstav f, må bestemmelsen ses i sammenheng med art. 21. Det vil si at den registrerte må gis informasjon om behandlingen og om retten til å protestere mot denne.

Art. 6 nr. 1 bokstav c gir rettslig grunnlag for å behandle personopplysninger dersom det er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige.

Dette kan for enkelte oppgaver og behandlingsansvarlige vurderes som behandlingsgrunnlag. Dette gjelder der behandlingsansvarlig gjennom lov, forskrift eller på andre måter gjennom nasjonal rett er pålagt oppgaver som tydelig forutsetter behandling av ansattes personopplysninger, jf. tilsvarende redegjørelse for «supplerende rettsgrunnlag» i undertittelen "Nødvendighet for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet" ovenfor.

Det finnes tilfeller der artikkel 6 nr. 1 bokstav c med supplerende rettsgrunnlag kan være behandlingsgrunnlag for ansattes opplysninger, og dette må arbeidsgiver vurdere i det konkrete tilfellet.

Artikkel 6 nr. 1 bokstav a stiller som vilkår at den registrerte har «samtykket til behandling av sine personopplysninger for ett eller flere spesifikke formål».

Samtykke fra den registrerte er «enhver frivillig, spesifikk, informert og utvetydig viljestyring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende», se GDPR art 4 nr. 11. I denne sammenhengen er det særlig hvorvidt samtykket er gitt frivillig som er det avgjørende. Situasjonen må være slik at det i realiteten er mulig å gi et samtykke av fri vilje.

Samtykke er som utgangspunkt ikke egnet som behandlingsgrunnlag dersom det er usannsynlig at samtykket er reelt frivillig. For eksempel er det ikke en reell frivillighet når skatteetaten behandler personopplysningene til en skattebetaler.

Når det gjelder ansattes bruk av personopplysninger i sin eID etter instruks fra arbeidsgiver, vil utgangspunktet være relativt likt. Arbeidsgiver vil ha en styringsrett og instruksjonsmyndighet over hvordan den ansatte utøver arbeidet sitt. Dette må sees i sammenheng med den generelle skjevhet i maktforholdet mellom partene. Samlet sett vil det være utfordrende å oppfylle kravet om reell frivillighet.

Behandlingsansvarlig bør også merke seg at et samtykke alltid kan trekkes tilbake, jf GDPR art 7 nr 3.

Vår anbefaling er at arbeidsgiver ikke baserer seg på samtykke som behandlingsgrunnlag for ansattes personopplysninger.

Art. 6 nr. 1 bokstav b gir rettslig grunnlag for å behandle personopplysninger dersom behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås.

Generelt ansees ikke art. 6 nr. 1 b som et spesielt godt rettslig grunnlag for behandling av personopplysninger i arbeidsforhold. Det er utfordrende å nå opp til terskelen om direkte og objektiv forbindelse mellom behandlingen av personopplysninger og oppfyllelse av arbeidskontrakten, og det er en maktubalanse mellom partene. Se mer i EDPB guideline 2/2019, og uttalelser fra tidligere Article 29 Working Party i (WP 114).

Videre bør arbeidsgiver være obs på at det sjelden vil være en farbar vei å basere seg på "samtykke" i arbeidskontrakten for overskytende behandling som ikke omfattes av bokstav b, ettersom en raskt støter på problemer rundt art. 7 nr. 4 og kravet om frivillighet, jf. undertittelen "Samtykke" ovenfor.

Art. 6 nr. 1 bokstav d gir grunnlag for å behandle personopplysninger når det er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser.

Vi antar at denne vil være lite relevant som et generelt behandlingsgrunnlag for personopplysninger som deles ved bruk av eID i ansattsammenheng.