Behandlingsgrunnlag
Er det i overenstemmelse med formålet å bruke eID i arbeidet?
Før det kan behandles personopplysninger, må behandlingsansvarlig definere et eller flere klart formulerte formål. Formålet for arbeidsgiver vil nok i de fleste tilfeller være krav om sikker identifisering som ledd i utføringen av en arbeidsoppgave. Dette omfatter blant annet å dele personopplysninger med ID-porten og den tjenesten som aksesseres. For ansatt-eID vil dette også omfatte knytningen mellom personen og arbeidsgiver som har skaffet ansatt-eIDen.
Videre er det et prinsipp at personopplysninger ikke skal viderebehandles på en måte som er uforenlig med formålet de opprinnelig ble innhentet for, jf. personvernforordningen artikkel 5 nr. 1 bokstav b. Det påhviler arbeidsgiver som behandlingsansvarlig å foreta en vurdering av formålsangivelsen til den konkrete eID-leverandøren, og påse at sikker identifisering i arbeidsforholdet ikke er uforenlig med det oppgitte formålet.
Digdir har gjort en vurdering av formålet for bruk av eID basert på opplysninger fra eID-leverandørene og de formålsbeskrivelsene som ligger tilgjengelig ute på nett. Det er gjennomgående nokså generelle formålsbeskrivelser av eID som et digitalt identifikasjonsmiddel. (Det kan derimot være spesifikke formålsbegrensninger ved den enkelte eID. Dette vil eventuelt fremgå av brukervilkårene for denne ordningen.) Dette tilsier at den private eID-en kan benyttes til å identifisere brukeren digitalt i ulike sammenhenger, også som ledd i utførelsen av en arbeidsoppgave. Det forutsettes at det foreligger en saklig grunn for identifiseringen i arbeidsoppgavene som er tillagt arbeidstaker, og at det ikke fremgår konkrete begrensninger i formålsangivelsen til eID-leverandøren som tilsier at eID-en ikke kan benyttes i et arbeidsforhold. (Personvernforordningen artikkel 5 nr. 1 b, jf. Artikkel 6 nr. 4 a-e.)
Behandlingsgrunnlag
Behandling av personopplysninger forutsetter at behandlingsansvarlig på forhånd har identifisert et behandlingsgrunnlag for hver enkelt behandling. All behandling av personopplysninger må ha et grunnlag i GDPR art. 6 nr. 1 bokstav a til f.
GDPR Art. 6 nr. 1 er derfor i alle sammenhenger en uttømmende liste over mulige behandlingsgrunnlag. Behandling av særlige kategorier personopplysninger anses som utgangspunkt ikke relevant for veilederen
Grunnlagene i GDPR er ikke listet opp i prioritert rekkefølge. I veilederen derimot, vil vi behandle de behandlingsgrunnlagene som er mest nærliggende å benytte seg av først, slik at man antar bokstav f som mest aktuell, men at det kan være supplerende rettsgrunnlag som gjør bokstav e og c aktuelle i de konkrete omstendighetene.
Dersom det ikke foreligger behandlingsgrunnlag etter GDPR art. 6 bokstav f eller alternative behandlingsgrunnlag for den konkrete behandlingen, vil heller ikke styringsretten kunne anvendes for å pålegge bruk av privat eID (se Styringsrett og bruk av privat eID).
Berettiget interesse
Behandlingsgrunnlag etter GDPR art. 6 nr. 1 bokstav f innebærer en nærmere interesseavveining av de forhold som begrunner behandlingen sett i forhold til hensynet til den registrerte. Behandling etter bokstav f er lovlig dersom «behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger». Behandlingsansvarlig må kunne dokumentere vurderingen.
Vi antar at dette vil være et naturlig behandlingsgrunnlag for de fleste arbeidsgivere. Arbeidsgiver må derfor vurdere følgende tre krav; det må foreligge et saklig formål, (se Er det i overenstemmelse med formålet å bruke en eID i arbeidet?), behandlingen må være nødvendig for å ivareta dette formålet og til slutt må det foretas en interesseavveining der den ansattes interesser balanseres mot behandlingsansvarliges eller tredjeparts interesser.
Bruk av eID har med samfunnsutviklingen blitt en grunnpilar for samhandling i digitale tjenester. En offentlig ansatt må med ulik frekvens og avhengig av stillingen regne med å måtte identifisere seg digitalt, og på en sikker måte, under utførelsen av sine arbeidsoppgaver. Dette vil i mange tilfeller være et saklig formål for å behandle personopplysninger.
Arbeidsgiver må videre foreta en konkret vurdering av om arbeidsoppgavene til den enkelte gjør det nødvendig å benytte eID med den underliggende persondatabehandlingen det medfører. Det kan for eksempel være behov for å identifisere seg mot en bestemt tjeneste i arbeidet, og eID ansees ofte som et egnet og nødvendig middel for å oppnå det formålet.
Vi kan her se på to typetilfeller: 1) Der sikkerhetsnivået bestemmes av en ekstern tjenesteeier, og 2) Der sikkerhetsnivået bestemmes av arbeidsgiver.
- Sikkerhetsnivået er bestemt av ekstern tjenesteeier. Vurderingen av om det er nødvendig med bruk av eID på sikkerhetsnivå «betydelig» eller «høyt» kan sees i sammenheng med behovet for å benytte bestemte tjenester som krever disse sikkerhetsnivåene i arbeidet. I en del tilfeller vil ikke arbeidsgiver kunne påvirke sikkerhetsnivået til en tjeneste, eller med rimelighet kunne sies å ha tilgang til gode alternative tjenester. Bruk av eID vil da ofte være nødvendig.
- Sikkerhetsnivået er under arbeidsgivers kontroll. Dersom arbeidsgiver kan bestemme sikkerhetsnivået i tjenesten den ansatte skal identifisere seg mot, må arbeidsgiver gjøre en vurdering av om det er nødvendig med eID på et bestemt sikkerhetsnivå. I disse tilfellene kan man vurdere om formålet om sikker nok identifisering av den ansatte kan oppnås med andre midler, for eksempel brukernavn og passord, og at bruk av eID ikke alltid er nødvendig.
Typetilfellene over er ikke ment å være uttømmende og det finnes flere ulike scenarioer som berettiger bruk av eID i arbeidet. Arbeidsgiver som behandlingsansvarlig må i alle tilfeller ha foretatt en nødvendighetsvurdering av om arbeidsoppgavene til den enkelte forutsetter bruk av eID (og tilhørende behandling av personopplysninger).
I veilederen forutsettes det at denne vurderingen vil være til dels sammenfallende med vurderingen av om det foreligger et saklig behov under Arbeidsgivers styringsrett.
Selv om behandlingen av personopplysninger ved innlogging med eID anses som nødvendig for å oppnå et saklig formål, må det foretas en interesseavveining - der ansattes interesser, rettigheter og friheter veies opp imot virksomhetens berettigede interesser for å behandle opplysningene til ovenfor nevnte formål. I den sammenheng bør en merke seg at sikker og entydig digital identifisering kan være i både virksomhetens og den ansattes interesse - av hensyn til informasjonssikkerhet, datakvalitet og for å sikre at rett ansatt gis riktig tilgang. I avveiningen kan det også være av betydning om behandlingen skjer ved bruk av privat eID og via utstyr som arbeidsgiver ikke har råderett over.
GDPR art. 6 nr. 1 bokstav f må videre ses i sammenheng med art. 21, som gir den registrerte rett til å protestere mot bestemte former for behandling etter dette behandlingsgrunnlaget. Den ansatte må også informeres om retten til å protestere.
Dersom den ansatte motsetter seg behandlingen som forutsettes ved bruk av eID, kan behandlingen likevel igangsettes dersom det foreligger tvingende berettigede grunner, som går foran den registrertes interesser, rettigheter og friheter. I dette ligger at ved en eventuell protest fra den registrerte må det foretas en ny vurdering, ikke helt ulik den som foretas etter GDPR art. 6 nr. 1 bokstav f. At det kreves «tvingende» berettigede grunner, tilsier at terskelen i denne omgang er høyere.
En tvingende berettiget interesse kan kanskje være at behovet for sikker identifisering er så stort at det ikke kan tilfredsstilles på annen måte enn ved bruk av eID, og at den tilhørende behandlingen av personopplysninger dermed er berettiget.
I GDPR artikkel 6 nr. 1 siste ledd er det inntatt en særskilt begrensning som innebærer at art. 6 nr. 1 bokstav f ikke kan benyttes som behandlingsgrunnlag for behandling av personopplysninger som ledd i offentlig myndighetsutøvelse. Offentlige virksomheter anses ikke å utøve offentlig myndighet når de opptrer som arbeidsgiver. Begrensningen kommer normalt ikke til anvendelse ved bruk av eID i offentlig forvaltning, ettersom offentlige virksomheter i denne sammenheng opptrer som arbeidsgivere for sine ansatte.
I korthet vil GDPR art. 6 nr. 1 bokstav f i mange tilfeller kunne være behandlingsgrunnlag for det begrensede sett av personopplysninger som er nødvendige for bruk av eID, forutsatt at tiltaket gjennomføres på en måte som er saklig og forholdsmessig for den enkelte og etter en forsvarlig vurdering og prosess hos arbeidsgiver.
Dersom en ansatt motsetter seg behandling av personopplysningene av tilstøtende grunner til selve behandlingen, for eksempel bruk av private eiendeler i arbeidssammenheng, vises det videre til behandlingen av dette temaet på sidene knyttet til Arbeidsrettslige vurderinger. Arbeidsgiver kan i slike tilfeller vurdere andre alternativer. Se også Ansatt-eID og privat eID.
Øvrige behandlingsgrunnlag
GDPR artikkel 6 nr. 1 bokstav e angir at behandling av personopplysninger er lovlig, dersom behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt.
Som et utgangspunkt ansees utøvelse av offentlig myndighet å forutsette bruk av den myndigheten organet er gitt i eller i medhold av lov (supplerende rettsgrunnlag). Myndighetsutøvelsen kan også følge av annet supplerende rettsgrunnlag enn lovpålegg, herunder nasjonale rettsregler som pålegger organet plikter.
Det utøves normalt ikke offentlig myndighet når offentlige organer opptrer som arbeidsgiver, og i disse tilfellene er alternativet i artikkel 6 nr. 1 bokstav e ikke et anvendelig behandlingsgrunnlag.
Det finnes tilfeller der artikkel 6 nr. 1 bokstav e med supplerende rettsgrunnlag kan være behandlingsgrunnlag for ansattes opplysninger, og dette må arbeidsgiver vurdere i det konkrete tilfellet. Tilsvarende som for de behandlingene som er dekket av art. 6 nr. 1 bokstav f, må bestemmelsen ses i sammenheng med art. 21. Det vil si at den registrerte må gis informasjon om behandlingen og om retten til å protestere mot denne.
Art. 6 nr. 1 bokstav c gir rettslig grunnlag for å behandle personopplysninger dersom det er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige.
Dette kan for enkelte oppgaver og behandlingsansvarlige vurderes som behandlingsgrunnlag. Dette gjelder der behandlingsansvarlig gjennom lov, forskrift eller på andre måter gjennom nasjonal rett er pålagt oppgaver som tydelig forutsetter behandling av ansattes personopplysninger, jf. tilsvarende redegjørelse for «supplerende rettsgrunnlag» i undertittelen "Nødvendighet for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet" ovenfor.
Det finnes tilfeller der artikkel 6 nr. 1 bokstav c med supplerende rettsgrunnlag kan være behandlingsgrunnlag for ansattes opplysninger, og dette må arbeidsgiver vurdere i det konkrete tilfellet.
Artikkel 6 nr. 1 bokstav a stiller som vilkår at den registrerte har «samtykket til behandling av sine personopplysninger for ett eller flere spesifikke formål».
Samtykke fra den registrerte er «enhver frivillig, spesifikk, informert og utvetydig viljestyring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende», se GDPR art 4 nr. 11. I denne sammenhengen er det særlig hvorvidt samtykket er gitt frivillig som er det avgjørende. Situasjonen må være slik at det i realiteten er mulig å gi et samtykke av fri vilje.
Samtykke er som utgangspunkt ikke egnet som behandlingsgrunnlag dersom det er usannsynlig at samtykket er reelt frivillig. For eksempel er det ikke en reell frivillighet når skatteetaten behandler personopplysningene til en skattebetaler.
Når det gjelder ansattes bruk av personopplysninger i sin eID etter instruks fra arbeidsgiver, vil utgangspunktet være relativt likt. Arbeidsgiver vil ha en styringsrett og instruksjonsmyndighet over hvordan den ansatte utøver arbeidet sitt. Dette må sees i sammenheng med den generelle skjevhet i maktforholdet mellom partene. Samlet sett vil det være utfordrende å oppfylle kravet om reell frivillighet.
Behandlingsansvarlig bør også merke seg at et samtykke alltid kan trekkes tilbake, jf GDPR art 7 nr 3.
Vår anbefaling er at arbeidsgiver ikke baserer seg på samtykke som behandlingsgrunnlag for ansattes personopplysninger.
Art. 6 nr. 1 bokstav b gir rettslig grunnlag for å behandle personopplysninger dersom behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås.
Generelt ansees ikke art. 6 nr. 1 b som et spesielt godt rettslig grunnlag for behandling av personopplysninger i arbeidsforhold. Det er utfordrende å nå opp til terskelen om direkte og objektiv forbindelse mellom behandlingen av personopplysninger og oppfyllelse av arbeidskontrakten, og det er en maktubalanse mellom partene. Se mer i EDPB guideline 2/2019, og uttalelser fra tidligere Article 29 Working Party i (WP 114).
Videre bør arbeidsgiver være obs på at det sjelden vil være en farbar vei å basere seg på "samtykke" i arbeidskontrakten for overskytende behandling som ikke omfattes av bokstav b, ettersom en raskt støter på problemer rundt art. 7 nr. 4 og kravet om frivillighet, jf. undertittelen "Samtykke" ovenfor.
Art. 6 nr. 1 bokstav d gir grunnlag for å behandle personopplysninger når det er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser.
Vi antar at denne vil være lite relevant som et generelt behandlingsgrunnlag for personopplysninger som deles ved bruk av eID i ansattsammenheng.
Særlig om bruk av fødselsnummer
Av personopplysningslovens § 12 følger det at «Fødselsnummer og andre entydige identifikasjonsmidler kan bare behandles når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering».
Vi kan som utgangspunkt anta at i systemer som arbeidsgiver har kontroll over som for eksempel ansattes PC og Microsoft 365, vil ikke fødselsnummer være nødvendig fordi det er andre gode metoder for å tilstrekkelig identifisere personen. I tillegg vil enkelte tredjepartsløsninger akseptere engangsinnlogging på ansattes PC som tilstrekkelig identifisering.
Derimot, når den ansatte skal logge inn i for eksempel Altinn, NAV og Skatteetaten, krever disse løsningene normalt entydig identifisering med personlig innlogging. Det samme gjelder for helsepersonell som generelt jobber i en sektor der det ofte er krav til identifisering i tjenestene som benyttes. I mange tilfeller vil arbeidsgiver ha et saklig behov for sikker identifisering og behandling av fødselsnummer fordi ansattes eID er nødvendig for å oppnå identifiseringen, og arbeidsgiver ikke har innvirkning på hva som kreves for at ansatte identifiserer seg mot tjenesten. Se også undertittelen "Berettiget interesse" ovenfor.