Personvernet til arbeidstaker
Arbeidsgiver bør være kjent med følgende personvernrettslige utgangspunkter ved bruk av eID for ansatte i virksomheten:
- Arbeidsgiver vil normalt være behandlingsansvarlig for personopplysningsbehandlingen i forbindelse med gjennomføringen av en arbeidsoppgave, slik som innlogging i en tjeneste for å lese sikre meldinger eller autentisering for signering av et dokument.
- Med utgangspunkt i de nåværende formålsbeskrivelsene som ligger tilgjengelig på nett, ansees det normalt å ligge innenfor formålet at privat eID benyttes som identifikasjonsmiddel mer generelt, også sporadisk bruk i arbeidsøyemed.
- Behandlingsgrunnlag vil ofte være arbeidsgivers berettigede interesse, jf. GDPR art. 6 (1) bokstav f. Arbeidsgiver må vurdere om det foreligger en berettiget interesse og dokumentere vurderingen. Det finnes alternative behandlingsgrunnlag som arbeidsgiver konkret må ta stilling til om kommer til anvendelse. Behandlingsansvarlige skal alltid velge det behandlingsgrunnlaget som best balanserer partenes interesser.
- De fleste eID-ordninger for privatpersoner og ansatte (privat eID og ansatt-eID) benytter personidentifiserende sertifikater, som medfører at det stort sett er samme personopplysninger som behandles i forbindelse med bruk, deriblant fødselsnummer.
De ulike utgangspunktene over vil etter omstendighetene kunne endre seg. I denne delen av veilederen vil vi gå nærmere inn på de ulike personvernsaspektene rundt roller og ansvar, formålsvurderingen, valg av behandlingsgrunnlag og personvernkonsekvenser for den enkelte.