Roller og ansvar
I forrige del av veilederen har vi tatt utgangspunkt i rollene i arbeidslivet fra et arbeidsrettslig perspektiv. Der er innbyggeren en ansatt og den offentlige etaten en arbeidsgiver. I denne delen skal vi se på rollene i et personvernrettslig perspektiv.
I personvernforordningen er det flere roller vi må forholde oss til, men i denne veilederen konsentrerer vi oss om
- «den registrerte»
- «mottaker»
- «databehandler»
Med «den registrerte» menes en spesifikk ansatt.
Etter personvernforordningen artikkel 4 (7) er en «behandlingsansvarlig» (… ) den som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes». Definisjonen kan passe både til arbeidsgiver, et offentlig organ som arbeidsgiver må forholde seg til, eID-leverandøren og ID-porten - avhengig av hvilken behandling det er snakk om.
Et scenario er at en ansatt som logger seg inn på en offentlig tjeneste med sin private eID for å utføre arbeidsoppgaver som er pålagt fra arbeidsgiver. Her vil det forekomme flere behandlinger av personopplysninger, blant annet gjennom ansattes valgte eID-ordning, gjennom ID-porten og hos den offentlige tjenesten bruker trenger å logge seg inn hos. Det vil være fire separate aktører (arbeidsgiver, eID-leverandør, ID-porten, tjenesteeier) som er behandlingsansvarlige for hver sin bruk, og må oppfylle de krav som følger av personopplysningsregelverket. Se eksempelet nederst på siden Hva arbeidstaker må vite om personvern for informasjon om hvilke personopplysninger som behandles.
«Mottaker» vil i i denne veilederen ordinært være en annen behandlingsansvarlig som ikke innhenter personopplysninger direkte fra den registrerte. Se ellers GDPR art 4 nr. 9
«Databehandler». I det tilfellet en part behandler personopplysninger på vegne av en annen part (behandlingsansvarlig) vil det foreligge et databehandlerforhold som krever at det inngås en databehandleravtale mellom partene, jf. personvernforordningen artikkel 28 nr. 3.
Arbeidsgivers behandlingsansvar ved bruk av eID
Arbeidsgiver vil kunne ha et eget behandlingsansvar ved bruk av eID i arbeidsforholdet. En vurdering av arbeidsgivers behandlingsansvar må gjøres i den konkrete saken, og det må legges vekt på hvor stor rolle arbeidsgiver har i prosessen.
Vurderingsmomenter er her:
- Bestemmer arbeidsgiver formålet (hensikten) med behandlingen? (Bestemmer arbeidsgiver at den ansatte skal logge seg inn i tjenesten?)
- Bestemmer arbeidsgiver hvilke midler (metode) som brukes? (Bestemmer arbeidsgiver hvor og på hvilken måte den ansatte skal logge seg inn?)
- Behandles personopplysningene på arbeidsgivers vegne? (Gjøres innloggingen som ledd i arbeidsoppgavene til den ansatte?)
Arbeidsgiver bør være oppmerksom på at de normalt vil være behandlingsansvarlig for personopplysningsbehandlingen i forbindelse med gjennomføringen av en arbeidsoppgave, også når den ansatte logger seg inn i en annen privat eller offentlig tjeneste.