Forslag om å innføre en HMS-kortordning i varebilsegmentet
Advokatforeningen er positive til at Arbeidstilsynet jobber med å identifisere og innføre egnede tiltak for å ivareta arbeidstakernes helse, miljø og sikkerhet og å redusere forekomsten av sosial dumping og arbeidslivskriminalitet. Advokatforeningen har ingen prinsipielle innvendinger mot forslaget om innføring av HMS-kort som et slikt mulig tiltak.
Vi finner likevel grunn til å knytte enkelte kommentarer til forslaget som vil innebære behandling av et betydelig omfang av personopplysninger, herunder sammenkopling av slike opplysninger, og som potensielt treffer et svært høyt antall enkeltpersoner.
Forslaget inneholder noen vurderinger av personvern i Kapittel 8 («Vurdering av personvernkonsekvenser»), som etter Advokatforeningens syn redegjør godt for behovet for endrede regler. Advokatforeningen kan imidlertid ikke se at mulige negative virkninger for personvernet eller avhjelpende tiltak knyttet til forslaget er tilstrekkelig systematisk og grundig drøftet. Vi vurderer at forskriften reiser flere personvernmessige problemstillinger som bør adresseres grundigere før vedtakelse.
Forslaget innebærer innsamling, behandling og deling av personopplysninger som navn, bilde, fødselsdato, arbeidsgiverinformasjon og registreringsdata fra offentlige registre. Dette krever et robust juridisk grunnlag i samsvar med GDPR artikkel 6 og eventuelt også en vurdering av artikkel 9. Det bør tydeliggjøres hvordan behandling av de ulike personopplysningstyper er nødvendig og proporsjonal i forhold til formålet (ivaretakelse av helse, miljø og sikkerhet samt bekjempelse av arbeidslivskriminalitet). Formålsbegrensningen bør spesifiseres for å unngå bruk av opplysningene til utilsiktede formål. Arbeidstilsynet bør utarbeide en detaljert vurdering av hvordan forskriften ivaretar kravene til lovlig behandling av personopplysninger, herunder dataminimering og formålsbegrensning (GDPR artikkel 5).
HMS-kortet muliggjør også utvidet kontroll fra oppdragsgivere og myndigheter. Det er viktig å balansere behovet for effektiv kontroll med arbeidstakernes rett til privatliv. Kontrolltiltak kan skape en opplevd overvåking som er uforholdsmessig. Det bør tydeliggjøres hvilke aktører som kan foreta kontroller og på hvilken måte. Videre bør det vurderes tiltak for å sikre at kontrollen er begrenset til nødvendige formål og utføres i tråd med prinsippet om forholdsmessighet.
Integreringen med registre som Folkeregisteret, Enhetsregisteret og Aa-registeret innebærer omfattende datautveksling. Dette reiser spørsmål om tilgangsstyring, datasikkerhet og risikoen for urettmessig bruk. Forskriften bør inneholde krav til tilgangsstyring og logging av hvem som har hatt tilgang til personopplysninger. Det bør også etableres klare rutiner for revisjon og kontroll av tilgang.
Det nevnes i forslaget at når HMS-kort ikke lenger er gyldige, for eksempel på grunn av at vedkommende har sluttet hos arbeidsgiveren, skal personopplysningene som er lagret på dem slettes. Det er samtidig noe uklart ut fra forslaget hvordan personopplysninger skal lagres og hvordan de skal slettes når HMS-kortet ikke lenger er gyldig eller relevant. Dette kan føre til unødvendig langvarig behandling av personopplysninger, i strid med GDPR artikkel 5(1)(e) om lagringsbegrensning. Forskriften bør presisere krav om sletting av data etter utløp av kortets gyldighet, samt regler for håndtering av data når arbeidstakeren slutter i sin stilling.
Når det gjelder behandlingsansvaret etter personopplysningsloven fremgår det av forslaget § 2-4 («Kortutsteders plikter») at Arbeidstilsynet er behandlingsansvarlig i henhold til personopplysningsloven. Advokatforeningen reiser spørsmål ved om dette er treffende for annen behandling enn det som skjer ved selve kortutstedelsen. Virksomheter som omfattes av reguleringen foreslås ilagt en rekke plikter knyttet til blant annet identitetssjekk, bestilling og kontroll av HMS-kort og vil være behandlingsansvarlig for opplysninger som behandles i denne forbindelse. Advokatforeningen anbefaler at virksomhetenes behandlingsansvar presiseres i forskriftsteksten.
Oppsummert er Advokatforeningens syn at lovforslagene i stor grad støttes, men at det bør gjøres videre vurderinger og presiseringer av enkelte detaljer i forslaget knyttet til personvern og personopplysningssikkerhet.