Da Datatilsynet i februar 2026 ila et norsk renholdsfirma et overtredelsesgebyr på 1,8 millioner kroner, var ikke saken først og fremst en teknisk feil. Bedriften hadde rullet ut en mobilapp for tidsregistrering med GPS-sporing, men hadde verken drøftet tiltaket med de tillitsvalgte etter arbeidsmiljøloven §9-3 eller dokumentert behandlingsgrunnlaget etter personopplysningsloven. Saker som denne har blitt vanligere det siste året, og det er ikke lenger bare de store kjedene som havner i Datatilsynets søkelys. Hvis din virksomhet registrerer arbeidstid, pauser eller reiser digitalt, må du kjenne det rettslige rammeverket før du tar i bruk verktøyene.
Arbeidsmiljøloven §9-1: når kontroll er tillatt
Arbeidsmiljøloven §9-1 setter to absolutte vilkår for å iverksette kontrolltiltak i en norsk virksomhet. Tiltaket må ha saklig grunn i virksomhetens forhold, og det må ikke innebære en uforholdsmessig belastning for arbeidstakeren. Digital tidsregistrering med GPS oppfyller normalt det første vilkåret når den brukes for å dokumentere oppmøte eller fakturere kunder, men det andre vilkåret er mer omstridt. Datatilsynet legger vekt på om kontrollen er kontinuerlig eller punktvis, om den dekker også fritid, og om den brukes til andre formål enn det opprinnelig oppgitte.
Praksis fra Personvernnemnda viser at GPS-sporing aksepteres når den er begrenset til arbeidstiden, dataene minimeres og formålet er kommunisert tydelig på forhånd. Sporing utenfor arbeidstid, kobling mot helseopplysninger og bruk av posisjon for prestasjonsmåling regnes derimot regelmessig som uforholdsmessig og blir avvist i tilsynssaker. I flere avgjørelser fra 2024 og 2025 har nemnda også vektlagt at arbeidstakerne skal ha en reell mulighet til å slå av sporingen utenom arbeidstid, for eksempel ved å logge seg ut av appen, uten at det får konsekvenser for ansettelsesforholdet.
Drøftingsplikten i §9-3 og §9-4
Det er her mange arbeidsgivere snubler. Arbeidsmiljøloven §9-3 pålegger virksomheten å drøfte behov, utforming, gjennomføring og vesentlige endringer av kontrolltiltak med tillitsvalgte så tidlig som mulig. Plikten er reell, ikke formell: drøftingen skal dokumenteres i protokoll, og innspill fra tillitsvalgte skal vurderes før systemet rulles ut. Et brudd på drøftingsplikten gjør ikke nødvendigvis tiltaket ugyldig, men det vekter sterkt mot arbeidsgiver hvis saken senere havner hos Datatilsynet eller Arbeidstilsynet.
Etter §9-4 plikter arbeidsgiveren å gi de berørte arbeidstakerne informasjon om formålet med kontrolltiltaket, hvilke praktiske konsekvenser det får, og hvor lenge tiltaket vil vare. Informasjonen skal være skriftlig og tilgjengelig, ikke begravet i en personalhåndbok som ingen leser. En klausul i arbeidsavtalen alene oppfyller ikke kravet hvis den ikke spesifiserer formål, behandlingsgrunnlag og lagringstid.

Personopplysningsloven §31 og behandlingsgrunnlag
Personopplysningsloven 2018 implementerer GDPR i Norge med enkelte tilpasninger. For arbeidsgiverkontroll er det særlig §31 som er aktuell: bestemmelsen krever et selvstendig behandlingsgrunnlag i tillegg til de allmenne vilkårene i GDPR artikel 6. I praksis betyr det at arbeidsgiveren må kunne vise til enten en lovbestemt plikt, en avtale med arbeidstaker, eller en berettiget interesse som er konkret balansert mot arbeidstakerens personvern. Samtykke er som regel ikke gyldig grunnlag i ansettelsesforhold, fordi avhengighetsforholdet svekker frivilligheten.
For særskilte kategorier av personopplysninger, som biometri eller helseopplysninger, gjelder GDPR artikel 9 med strengere krav. Dette er relevant hvis tidsregistreringssystemet bruker fingeravtrykk eller ansiktsgjenkjenning ved innlogging. Datatilsynet har gjentatte ganger advart mot biometrisk autentisering på arbeidsplassen og krever som hovedregel at en alternativ innloggingsmetode tilbys. En PIN-kode eller en personlig brikke regnes ofte som tilstrekkelig sikker for vanlig tidsregistrering, og fjerner samtidig hele kategorien av særskilte personopplysninger fra behandlingen.
Lagring, sletting og dataminimering
Hvor lenge skal arbeidstidsdata oppbevares? Spørsmålet styrer både den tekniske arkitekturen og hvilke rapporter du kan ta ut. Bokføringsloven krever fem år for fakturagrunnlag, mens arbeidstidsdokumentasjon etter arbeidsmiljøloven oppbevares normalt i to år. For GPS-posisjoner og bevegelsesdata finnes ingen tilsvarende plikt, og dataminimeringsprinsippet i GDPR artikel 5.1.e gjelder fullt ut. Datatilsynet har lagt seg på en linje der rådata om posisjon skal anonymiseres eller slettes etter normalt 90 til 180 dager, med mindre en konkret tvist begrunner lengre lagring.






