Innholdsfortegnelse

Artikkel

Kan kartleggingsdata brukes til reaksjoner mot ansatte?

Ikke automatisk. Formålsbegrensningen i GDPR betyr at data samlet inn for kartlegging og opplæring ikke uten videre kan brukes som grunnlag for disiplinære tiltak. Her er reglene.

Sist oppdatert · 3 min lesetid

Kan kartleggingsdata brukes til reaksjoner mot ansatte?

Kort svar: Ikke automatisk. GDPR artikkel 5 nr. 1 bokstav b fastslår at personopplysninger ikke skal viderebehandles på en måte som er uforenlig med det opprinnelige formålet. Hvis kartleggingen ble gjort for «planlegging og opplæring», er bruk til disiplinære reaksjoner et annet formål — og krever enten forenlighetsvurdering eller eget behandlingsgrunnlag.

Formålsbegrensning: hovedregelen

GDPR artikkel 5 nr. 1 bokstav b er et av de mest grunnleggende personvernprinsippene: Personopplysninger skal «samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene».

Karnov lovkommentar note 3 til bestemmelsen forklarer at prinsippet har to deler: For det første skal det være klart for den registrerte hva opplysningene samles inn for. For det andre skal de ikke brukes til andre formål uten at dette er vurdert.

Når kartlegging møter disiplinærsak

Tenk deg følgende: En virksomhet gjennomfører en KI-kartlegging for å «kartlegge arbeidsmåter for planlegging og opplæring». En ansatt svarer ærlig at de har delt pasientdata med privat ChatGPT.

Kan arbeidsgiver bruke dette svaret som grunnlag for en advarsel eller oppsigelse?

Svaret avhenger av om viderebehandlingen er forenlig med det opprinnelige formålet. GDPR artikkel 6 nr. 4 angir vurderingskriteriene: forbindelsen mellom formålene, sammenhengen data ble innhentet i, opplysningenes art, og konsekvensene for den registrerte.

Disiplinære tiltak har vesentlig større konsekvenser for den registrerte enn opplæring. Det taler sterkt mot forenlighet. Personvernnemnda har i PVN-2020-13 (Arendal/Spekter) vurdert behandlingsgrunnlag og formålskrav for kartleggingsverktøy strengt.

Hva kan arbeidsgiver gjøre?

Dersom viderebehandling til disiplinære formål ikke er forenlig, har arbeidsgiver to alternativer:

Alternativ 1: Eget behandlingsgrunnlag. Arbeidsgiver kan ha et selvstendig grunnlag etter GDPR artikkel 6 for å behandle opplysningene til et nytt formål — for eksempel berettiget interesse (artikkel 6 nr. 1 bokstav f) med dokumentert avveining. Men dette grunnlaget må foreligge på forhånd, ikke konstrueres i etterkant.

Alternativ 2: Separat prosess. Dersom kartleggingen avdekker indikasjoner på regelbrudd, kan arbeidsgiver iverksette en separat undersøkelse med eget formål og eget behandlingsgrunnlag — men ikke bruke kartleggingsdataene direkte.

Praktisk konsekvens for kartleggingen

Dette har direkte konsekvens for hvordan kartleggingen designes:

  1. Definer formålet tydelig ved opprettelse. En formålslås — der formålet defineres og ikke kan endres i ettertid — beskytter mot formålsglidning.

  2. Informer respondentene om at svarene ikke vil brukes til disiplinære formål. Dette bygger tillit og øker svarraten.

  3. Anonym kartlegging reduserer risikoen. Dersom svarene er genuint anonyme, er formålsbegrensning ikke lenger relevant — anonyme data faller utenfor GDPR.

  4. Dokumenter vurderingen. Dersom det senere skulle bli aktuelt å bruke kartleggingsdata i en personalsak, må arbeidsgiver kunne vise at forenlighetsvurderingen etter artikkel 6 nr. 4 er gjort og dokumentert.

Rettskilder brukt i denne artikkelen

  • GDPR artikkel 5 nr. 1 bokstav b (formålsbegrensning)
  • GDPR artikkel 5 nr. 2 (ansvarlighetsprinsippet)
  • GDPR artikkel 6 nr. 4 (test for forenlige formål)
  • Karnov lovkommentar note 3 til GDPR art. 5(1)(b)
  • WP29 Opinion 03/2013 on Purpose Limitation (WP203)
  • Innføring og oppgavesamling i personvernrett kap. 4.3
  • PVN-2020-13 (Arendal kommune / Spekter)

Kilder: EU AI Act (EUR-Lex 2024/1689) · HK-dir Rapport nr. 04/2026 (CC-BY 4.0) · Regjeringen.no · Nkom.no