Hopp til innhold

Nå kan arbeidsgiver nekte deg å laste ned apper på mobilen

- Avdelingsleder ved fagavdelingen i Sticos

Vi gjør oppmerksom på at denne artikkelen er mer enn ett år gammel og innholdet kan være utdatert.

Svært mange arbeidstakere har en mobil som er betalt og eid av arbeidsgiver, som man også bruker privat. Det kan lett føre til GDPR-trøbbel.

- Mobilen er gjerne med oss hele døgnet, og det er normalt å laste ned apper på jobbtelefonen som brukes til private formål. Både konfidensielle opplysninger knyttet til virksomheten og egne opplysninger kan dermed bli formidlet uten at arbeidsgiver har kontroll på hvordan dette innholdet blir brukt videre av tredjepartsprogram, og nå er alle virksomheter underlagt et regelverk som setter klare grenser, sier jurist og personvernombud Kai Runar Bang i Sticos.

Ber om tekstmeldingene dine

Bang viser til at mobilapper vil ha tilgang til både kontaktliste, bilder, kalender og stedsposisjon din, samt innholdet i tekstmeldinger og e-poster.

- Det er mer regelen enn unntaket. Appen Swiftkey ber for eksempel om tilgang til alle tekstmeldingene dine. Facebook ber om tilgang til kontaktlisten din. Og selv om du senere sletter kontakter på telefonen, vil Facebook fortsatt ha tilgang til hele lista.

- Enkelte apper eksisterer kun for å samle data om brukerne, legger han til.

Arbeidsgivers ansvar

EUs personvernforordning, også kalt GDPR, ble iverksatt i Norge 20. juli. Det nye regelverket forplikter arbeidsgiver å ivareta sensitive personopplysninger på en forsvarlig måte, og slike opplysninger skal kun behandles der det finnes et tydelig spesifisert formål.

Det gjelder også informasjon som deles fra mobiltelefonene til arbeidstakerne.

- Den nye personvernforordningen krever at virksomhetene i større grad enn tidligere selv må vurdere lovligheten av informasjonen de sitter på og deler med andre. Ansvaret ligger altså hos hver enkelt bedrift, understreker Bang.

Kan forhindres

Med enkle grep kan arbeidsgiver løse utfordringene med at ansattes apper bryter med personvernforordningen.

- Løsningen kan være at arbeidsgiver kun tillater bestemte applikasjoner på jobbtelefonen. Da kan man for eksempel bruke Mobile Device Management (MDM). Denne programvaren krever at man gjør konkrete kartlegginger og risikovurderinger av hver enkelt applikasjon opp mot bedriftens retningslinjer før de gjøres tilgjengelig. Et annet alternativ er at ansatte legger igjen mobilen på jobb når arbeidsdagen er over, og at den ikke benyttes til privat bruk, sier sikkerhetsansvarlig Thomas Enoksen i Sticos.

- Slike tiltak vil ikke nødvendigvis bli populære blant ansatte. Men de fleste arbeidsgivere har rigide regler for hva arbeidstakerne kan laste ned på datamaskinen sin. Da er det naturlig å tenke at tilsvarende også bør gjelde for jobbtelefonen, hvert fall nå som alle virksomheter er pålagt å overholde nye EU-regler om personvern, sier Enoksen.

Datatilsynet blir kontaktet

Datatilsynet understreker at personopplysninger som virksomheten er behandlingsansvarlig for, kan ansatte ikke bruke til andre formål enn det virksomheten har behandlingsgrunnlag for.

Datatilsynet opplyser de får henvendelser fra virksomheter som lurer på hvordan de skal regulere jobbtelefoner til ansatte.

- Når innsyn er tillat og hvordan arbeidsgiver i så fall skal gå frem, er regulert i en egen forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale. Forskriften må imidlertid praktiseres i lys av personvernforordningen, slik som personvernprinsippene og reglene om de registrertes rettigheter. Det er spesielt verdt å merke seg prinsippet om gjennomsiktighet og prinsippet om dataminimering. Det samme gjelder for retten til innsyn og informasjon, retten til å protestere, samt retten til å kreve personopplysninger slettet, opplyser Atle Årnes som er fagdirektør for teknologi i Datatilsynet til Sticos.

Han understreker viktigheten av at ansatte og virksomheten på forhånd må avklare håndteringen av mobiltelefoner som er eid av arbeidsgiver.

- På denne måten kan den ansatte selv da ta stilling til om det er å foretrekke å benytte virksomhetseid mobiltelefon privat. Det er lurt å benytte MDM for å skille mellom privat bruk av mobilen og virksomhetens bruk, sier Årnes.

På nettsidene til Datatilsynet ligger det mer informasjon om overvåking av ansattes mobiltelefon.

Få aktuelle nyheter innen personal, regnskap, økonomi og personvern. Følg Sticos på FacebookLinkedIn og meld deg på vårt nyhetsbrev

Hold deg oppdatert på relevant fagstoff

Våre nyhetsbrev inneholder aktueltsaker, produktinformasjon, invitasjoner til relevante kurs, seminarer og frokostmøter, samt gode råd og tips.