2. Eva Jarbekk
11. oktober 2011
• Advokat og assosiert partner i Kluge Advokatfirma DA
• Partner i FAKTUM NoR AS
• Tverrfaglig granskning/internrevisjon, varslingstjeneste, informasjonssikkerhet og personvern
• Leder av Personvernnemnda
• Leder av Advokatforeningens lovutvalg for IKT- og personvern
• Advokat, spesialenheten for politisaker
3. • Litt om personvern og rettslige rammer for bruk av sosiale medier
• Om sosiale medier
• Om habilitet og definisjonsmakt
• Kontroll av arbeidstaker
• Grenser for arbeidstakeres ytringsfrihet – behovet for retningslinjer
• Utforming av retningslinjer
11. oktober 20113
Dagens temaer
5. • Sikre forsvarlig bruk av personopplysninger
• Hver enkelts personvern og kontroll med opplysninger
• Forventninger om diskresjon og passord øker forventingen
• Liten faktisk kunnskap hos brukerne om hva som kan gjenfinnes
• Logg av internett-bruk, sosiale medier
• Sletting av e-post, status-felt
• Øker problemet
• Bruken av reglene skal balansere effektiv informasjonsbehandling og hensynet til
individene
• Personvern er dels teknisk personvern og dels avhengig av menneskelige vurderinger
11. oktober 20115
Hvorfor personvern?
6. • Personopplysningsloven
• EU-basert
• Forskrifter
• Datatilsynets praksis
• Personvernnemndas praksis
• Noe rettspraksis
• Avgjørelser fra statsadvokat og riksadvokat
• Nye forskrifter om innsyn i e-post
• Særlovgivning;
• helsepersonell
• arbeidsmiljølov
• politiets registre
• Datatilsynet
• Veiledningsplikt
• Kontrollerende organ
11. oktober 20116
Rettslig ramme
7. • Info knyttet direkte/indirekte til individ omfattes av loven
• Ledelsen er ansvarlig
• Ved ekstern delegasjon/outsourcing MÅ ansvaret omtales, jfr. § 15, i en såkalt
”databehandlerklausul”
• Også i cloud-løsninger
11. oktober 20117
Lovens virkeområde og ansvarsforhold
8. Arbeidsgiver har styringsrett – arbeidsmiljøloven
• Kan pålegge å bruke/ikke bruke sosiale medier i arbeidstid
Konkret vurdering:
• arbeidsoppgaver
• stilling
• behovet for at den ansatte deltar i elektronisk kommunikasjon
• risiko
Anbefaling: Jobbrelatert opptreden i nettmedier løses best i en dialog mellom arbeidsgiver
og arbeidstaker
11. oktober 20118
Arbeidsrettslig
10. • Facebook – femte største mediet i Norge
• På topp er V-kanalene NRK1 og TV2, etterfulgt av NRK P1 og VG-
Nett
• Hver tredje nordmann er innom nettsamfunnet daglig
• FB er foran VG på papir og Dagbladet.no
Kilde: Aftenposten 28.10.09
11. oktober 201110
Sosiale medier i praksis
11. Typisk Facebook, LinkedIn, Twitter (ikke e-post)
•Ofte brukerstyrt, ikke redaksjonell styring
•Ukjent lesergruppe, STOR lesergruppe
• Feil får store konsekvenser
• Vanskelig å slette informasjon
•Dårlig sikkerhet i systemene
• Kommet til “på gutterommet” – ikke fokusert på sikkerhet
• Tilgangskontroll i facebook svikter jevnlig
11. oktober 201111
Sosiale medier – sentrale kjennetegn
12. • Usikker rettslig ramme
• Hvilken jurisdiksjon – hvilken lov?
• Opphavsrett til materialet som legges ut?
• Slettes informasjon?
• Hvordan gjenbrukes informasjon?
• App’er
• FB i Aftenposten
11. oktober 201112
Sosiale medier – sentrale kjennetegn
14. Dette skjer
• Ærekrenkelser
• Misbruk av personopplysninger
• Taushetsbrudd
• Opphavsrettskrenkelser
• Twitterjacking
• Brukernavn og passord stjeles
• Spredning av virus / ondsinnet kode via sosiale medier
11. oktober 201114
Sosiale medier – typiske hendelser
15. Sikkerheten blir bedre med ansatte på sosiale medier, mener NSR
• ”Min påstand er at den største risikoen en virksomhet kan ta med hensyn til
sosial programvare er å motsette seg og forby bruk”
• ”Det øker risikoen ved at interne og eksterne brukere vil forsøke å finne en måte
å omgå sperren på, på en irregulær måte”
• Arne Røed Simonsen fra Næringslivets Sikkerhetsråd (NSR) under NSMs
sikkerhetskonferanse 2010
11. oktober 201115
Sosiale medier ?
16. Bruk av sosiale medier på arbeidsplassen
11. oktober 201116
•Menneskelige aspekt
Retningslinjer
•Teknisk sikkerhet
Typisk vedlegg
•Nye IT-baserte kontrollsystemer
•Menneskelige aspekt
Retningslinjer
•Teknisk sikkerhet
Typisk vedlegg
•Nye IT-baserte kontrollsystemer
På vegne av virksomheten
Info.kanal ut av
virksomheten
Info.kanal ut av
virksomheten
Som privatperson
Info.kanal inn til
virksomheten
Info.kanal inn til
virksomheten
På fritidenPå fritiden
•Menneskelige aspekt
Retningslinjer
•Menneskelige aspekt
Retningslinjer
•Vurdere informasjonen
Ikke kvalitetssikret
Mange feilkilder
•Ikke ta imot eller videresend
virus
•Vurdere informasjonen
Ikke kvalitetssikret
Mange feilkilder
•Ikke ta imot eller videresend
virus
22. Hindre at utenforstående hensyn blir vektlagt
Hindre, favorisering, diskriminering
Egeninteresser, sympatier og antipatier kan virke inn
Folk skal ha TILLIT til at slikt ikke virker inn – uavhengig av om det faktisk gjør det
11. oktober 201122
Forvaltningsloven § 6 - bakgrunn
24. Brukes hyppig av journalister, AG og andre
”Sperrede” grupper er ikke så sperret; privat er ikke spesielt privat
Bruker-regler og innstillinger endres hyppig
Faglig diskusjonsfora på linked-in – meninger vises
Viktig ifht habilitet, egnethet og tillit – NÅ OG FREMTID
11. oktober 201124
Sosiale medier er en informasjonskilde
25. • Varierer over tid
• Virksomheter, voksne, barn og ungdom kan ønske å fremstå annerledes om 10 år
• Politiske oppfatninger kan skifte
• Varierer med kontekst
• Nye kunder/tjenester, ny jobb/karriere krever andre ”presentasjoner”
• Varierer kulturelt
• Søke nye kunder eller jobb i USA? I Israel?
• Det er hensiktsmessig å kunne variere hvordan man presentere seg selv – og mennesker har
alltid hatt den friheten
11. oktober 201125
Hvordan presenterer vi oss selv?
26. Åpen kilde – kan som regel leses av alle
Kan være overraskende hva andre skriver om deg og hvilke interesser du har
– selv om de ikke skal skrive det der...
- Gjelder også når man innhenter informasjon om andre – det som står der er ikke alltid sant
Åpenheten gir betydelige utfordringer ifht personvern og ønsker om å ha kontroll med
opplysninger og bilder som beskriver deg selv
• hvem er dine venner
• hva er dine interesser
• hvordan er din ”egnethet”?
11. oktober 201126
Sosiale medier som kilde – hva med personvernet?
27. • Ja – de bør være der
• Mange bra grupper
• Sosiale medier
• Cloud
• Offentlige anskafffelser
• HR
• Personvern
ingen siling av medlemmer
11. oktober 201127
Offentlig ansatte på LinkedIn? Ansatte i børsnoterte bedrifter?
28. • Brukere av sosiale medier som er gjenstand for andres vurderinger – yrkesmessig
eller privat – må tenke seg om før de oppdaterer status-feltet
• Og når informasjon om andre innhentes: husk at ikke alt som står på sosiale medier
er sant!
11. oktober 201128
Beklager – vi har aldri helt fri
30. • Kan arbeidsgiver overvåke eller følge med på hva som legges ut?
• Det er offentlig tilgjengelig informasjon
• Kan ”jobb-twitter” følges? Ja
• Kan ”jobb-FB” følges? Ja
• Sjekke FB/twitter i ansettelsesituasjon ? Ja
• På privat FB? Kan titte innom? Ja
11. oktober 201130
Kontroll av arbeidstakers bruk?
31. • Aktiviteter på Internett loggføres automatisk i datasystemene
• Forskriftene:
• slike logger kun skal brukes til administrasjon av systemet eller for å oppklare
sikkerhetsbrudd
• (typisk hacking fra eksterne og lignende)
• Logg skal ikke brukes for å overvåke ansatte, kartlegge hvor mye tid en ansatt
bruker på nettet, eller hvilke sider vedkommende har vært inne på
11. oktober 201131
Kontroll av arbeidstakers bruk?
32. • Sikre speilkopi av e-postserver
• Frys back-up hvis den er rullerende (for e-post)
•Sikre lovlige bevis for eventuell rettssak
• Ulovlig fremskaffet bevis prosessuelt vanskeligere å benytte enn lovlig fremskaffet bevis
• Rt.-2002-1500 - § 8f tolkes i AGs favør – lovlig bevis
•Sikre teknisk gode nok bevis til bruk i rettssak
Bruk datateknisk ekspertise for å sikre dette
• Åpning av datafiler kan endre filen slik at den ikke lenger er et fullgodt bevis. Man må
bruke særlige metoder som for eksempel speiling av harddisker og spesielle søkeverktøy.
•”Bevis” fra nettmedier er ikke alltid sanne
11. oktober 201132
Kontroll av arbeidstaker – konkret mistanke?
34. Hvorfor retningslinjer?
11. oktober 201134
• Særlig i forbindelse med den ansattes private uttalelser
• Pålagt bruk vs. den ansattes private uttalelser
• I begge tilfeller bør arbeidsgiver sørge for å
Bygge kompetanse hos arbeidstaker
Skape en enhetlig presentasjon av virksomheten
Begrense skadepotensialet
Klargjøre arbeidsgivers forventninger - lojalitetsplikt
Gjøre det lettere å bruke sanksjoner
35. 11. oktober 201135
Lovfestede grenser for ytringsfriheten
Forbud mot … Strafferamme Hjemmel
Ærekrenkelser
Diskriminerende utsagn
Hånende eller krenkende utsagn om tro
Pornografi
Trusler
Skadeverk, bedrageri: Skade, virus, hacking
Personvernkrenkelser
Bøter eller fengsel inntil 2 år
Bøter eller fengsel inntil 3 år
Bøter eller fengsel inntil 6 måneder
Bøter eller fengsel inntil 3 år
Bøter eller fengsel i inntil 3/6 år
Bøter eller fengsel inntil 1 år (S) / 3 år (B)
Bøter eller fengsel innen 3 måneder
Strl. §§ 246 og 247
Strl. § 135 a (men stor vekt på ytringsfrihet)
Strl. § 142 (men stor vekt på ytringsfrihet)
Strl. § 204
Strl. § 227
Strl. § 270 (B) og § 291 (S)
Strl. § 390, Åndsverksloven § 43a (bilder)
36. Hva skal til for å sanksjonere med oppsigelse eller avskjed?
11. oktober 201136
• Oppsigelse (arbeidsmiljøloven § 15-7)
Må være saklig begrunnet i virksomhetens, arbeidsgivers eller arbeidstakerens forhold
→ Misligholdt forpliktelser i arbeidsavtalen, brudd på lojalitetsplikten
→ Saklighetskravet er en rettslig standard
→ Proporsjonalitetsprinsipp; advarsel i stedet for oppsigelse?
→ Advarsel er ikke et lovkrav, men arbeidstaker bør få muligheten til å rette på forholdet
→ Arbeidsgiver har bevisbyrden
• Avskjed (arbeidsmiljøloven § 15-14)
Øyeblikkelig fratreden ved grovt pliktbrudd eller annet vesentlig mislighold av arbeidsavtalen
→ Ikke krav om advarsel
→ Grovere tilfeller av pliktforsømmelse som også kan begrunne oppsigelse, gjerne enkelttilfeller
→ Arbeidsgiver må reagere med det samme hvis avskjed skal benyttes
37. Ytringsfrihet vs. lojalitetsplikt
• Ytringsfriheten er hjemlet i Grunnloven § 100, EMK Art. 10 og SP Art 19.
June 20, 201337
• Lojalitetsplikten begrenser muligheten for negativ omtale av arbeidsgiveren
Kritikkretten
Annen omtale med negativ virkning for arbeidsgiver
38. Retten til å kritisere arbeidsgiver
• Arbetsdomstolens uttalelser i AD 1994 nr. 79 «Miljøbevisst fabrikkansatt»:
June 20, 201338
(1) Kritiser først etter at forholdet er forsøkt tatt opp med ledelsenn
(2) Kritikk med skade som formål kan anses som brudd på lojalitetsplikten
(3) Begrenser ikke retten til å delta i debatt om spørsmål av allmenn interesse
o AD 1986 nr. 95 «Hotellresepsjonistene»
o AD 1988 nr. 67 «Hovmesteren»
39. Hva hvis arbeidstakerens kritikk skjer ved krenkelser og trusler?
June 20, 201339
• Arbeidstakeren mente han fremsatte rettmessig kritikk. Arbeidsgiveren – og
domstolen - karakteriserte det som krenkende og truende uttalelser.
• AD 2011 s. 57 «Lokføreren»:
« Nu är det i vart fall för sent, skadan med varumärket SJ blir svårt att
reparera. Dock… Det som måste ske utan dröjsmål och with no mercy är att
avrätta H.A. offentligt. Varumärket SJ kräver det (…). »
• Grov tilsidesettelse av plikter overfor arbeidsgiveren.
40. 11. oktober 201140
Personvern begrenser også arbeidstakeres ytringsfrihet
• Forbud mot å behandle
personopplysninger
uten hjemmel
Kilde:NRK.no,16.novemer2010
http://www.nrk.no/nyheter/distrikt/hedmark_og_oppland/1.7382993
• Særlig aktuelt ved en
virksomhets bruk av
sosiale medier for aktiv
kommunikasjon
• Også på private blogger?
41. 11. oktober 201141
Sanksjoner ved brudd på personopplysningsloven:
• Overtredelsesgebyr, personopplysningsloven § 46
«Datatilsynet kan pålegge den som har overtrådt denne loven eller forskrifter i medhold av den, å betale et pengebeløp til statskassen
(overtredelsesgebyr) på inntil 10 ganger grunnbeløpet i folketrygden»
• Bøter og/eller fengsel, personopplysningsloven § 48
«Med bøter eller fengsel inntil ett år eller begge deler straffes den som forsettlig eller grovt uaktsomt (…)
Ved særdeles skjerpende omstendigheter kan fengsel inntil tre år idømmes.»
• Erstatning, personopplysningsloven § 49
«Den behandlingsansvarlige skal erstatte skade som er oppstått som følge av at personopplysninger er behandlet i strid med
bestemmelser i eller i medhold av loven.(…)
(..) kan også pålegges å betale slik erstatning for skade av ikke-økonomisk art (oppreisning) som synes rimelig.»
• NYTT EU-regelverk : 2% AV ÅRSOMSETNINGEN
42. • Forvaltningsloven:
11. oktober 201142
Særlige hensyn i offentlig virksomhet
Habilitet, taushetsplikt, opplysningsplikt, elektronisk kommunikasjon
• Arkivlova og Offentleglova bestemmer hva som skal arkiveres og journalføres:
Saksdokumenter som enten er
1)Gjenstand for saksbehandling, og/eller
2)Har verdi som dokumentasjon.
(Arkivlova § 2a jf. forskriften § 3-18)
Arkiveres
Saksdokumenter som både er
1)Gjenstand for saksbehandling, og
2)Har verdi som dokumentasjon.
(Arkivforskriften § 2-6)
Journalføres
43. • Hvordan skal kommunikasjon på sosiale medier arkiveres og journalføres?
11. oktober 201143
Særlige hensyn i offentlig virksomhet forts.
Regjeringens bruk av sosiale medier; rapport og anbefaling fra arbeidsgruppe, april 2009:
Nettmøter og bloggposter med tilhørende kommentarer arkiveres og journalføres
som ett dokument.
Spørsmål sendt via Twitter vil være kortfattede og enkle, og kan normalt ikke anses
som å ha verken dokumentasjonsverdi eller være gjenstand for saksbehandling.
Behøver verken arkiveres eller journalføres.
Henvendelser og svar sendt via Facebook skal bare arkiveres hvis det kan betegnes
som et saksdokument med verdi som dokumentasjon. Saksbehandling skal ikke skje.
Kravene for journalføring vil sjelden være oppfylt: det dreier seg ofte om enkel
kommunikasjon som like gjerne kunne vært tatt pr. telefon.
46. 11. oktober 201146
Retningslinjer ved bedriftens aktive bruk av sosiale medier
• Hva er bedriftens mål med bruk av sosiale medier?
• Hvordan skal tilstedeværelsen følges opp? Skal man alltid svare?
Merkevarebygging og omdømmehåndtering
Øke salg av produkter/tjenester
Produktutvikling gjennom innspill fra eksterne grupper
Yte bedre kundeservice
Svar alltid på spørsmål rettet direkte mot bedriften (obligatorisk) – helst samme dag som innlegget ble publisert.
Svar alltid når kommentaren kommer fra en misfornøyd kunde, eller inneholder faktafeil.
Svar på positive og nøytrale kommentarer så ofte som mulig, det viser tilstedeværelse (valgfritt)
Sjekk om det kommer nye kommentarer på ditt svar – følg opp!
48. 11. oktober 201148
Retningslinjer ved bedriftens aktive bruk av s. medier forts.
• Bruk av linker til egne og andres nettsider
• Er det temaer som ikke skal kommenteres?
Henvis gjerne til bedriftens nettside. Hva med andre nettsider?
Kommenter ikke rykter og spekulasjoner
Kommenter ikke interne saker (personalsaker) hvis det ikke utgjør en vedtatt strategi
Skriv ikke negativt om andre bedrifters produkter og tjenester
• Språk, tone og etikette
Bruk en personlig men skikkelig tone, og et tydelig språk.
50. 11. oktober 201150
Retningslinjer for ansattes private bruk av sosiale medier
• Dynamiske, interne regler – ikke direkte i arbeidsavtalen
• Den ansatte bør om mulig kvittere for at reglene er lest
I arbeidstiden: ikke overdrevet privat
Lojalitetsplikt
Taushetsplikt og temaer som ikke skal kommenteres
Generelle rettslige skranker; ærekrenkelser, fotobruk etc.
Data slettes ikke, ”slettet” materiale kan gjenfinnes
Data kan spores
Arbeidsgiver vil kunne bruk tilgjengelig informasjon
Ikke videresend linker og ”morsomme” filer - virusfare
Hvordan kan misbruk få betydning for arbeidsforholdet?
• Temaer:
52. 11. oktober 201152
Retningslinjene må følges opp
• Retningslinjer kan forenkle anvendelsen av sanksjonsreglene, men krever oppfølgning.
• En oppfatning om at ledelsen ser gjennom fingrene med overtredelser, kan få avgjørende betydning
for vurderingen om avskjed eller oppsigelse er en uforholdsmessig reaksjon.
Rt. 2005 s. 518 «ConocoPhillips», premiss 53:
« Avskjed fremstår etter dette, som fremhevet av lagmannsretten, som « en unødig skarp individuell
markering i forhold til et problem som omfattet et betydelig større antall ansatte, og som av flere har
vært karakterisert som en «ukultur» offshore. »
54. 11. oktober 201154
BCR?
• Binding corporate rules for overføring av ansatteopplysninger utenom EU og Safe Harbour
• Godkjent personvern-policy gjør overføring enkel
• Erfaring?
•