Har din virksomhet kontroll på behandling av arbeidstakernes personopplysninger?

Det er nå snart ett år siden ny lov om behandling av personopplysninger trådte i kraft i Norge (20. juli 2018). Den nye personopplysningsloven gjennomfører EUs personvernforordning (GDPR) og gjør personvernforordningen til norsk lov.

I norsk rett har vi generelle personvernbestemmelser som også er rettet mot arbeidslivet. Et særpreg for arbeidstakere er at også annen lovgivning er viktig for beskyttelse av personvernet. Det er en viss grad av beskyttelse i arbeidsmiljøloven, da særlig for bruk av kontroll og overvåking på arbeidsplasser.

Personvernlovgivningen stiller krav til hvordan virksomheter behandler ansattes personopplysninger. Virksomheter som behandler personopplysninger må blant annet ha et lovlig behandlingsgrunnlag. Videre stilles det krav om en personvernerklæring, samt klare rutiner for innsyn, lagring og sletting av personopplysninger.

Hva er personopplysninger?

Personopplysninger er definert som enhver opplysning om en identifisert eller en identifiserbar fysisk person. Typiske eksempler på personopplysninger vil være den ansattes personalia, slik som navn og adresse. Et bilde eller opptak av en telefonsamtale er også personopplysninger dersom den ansatte kan gjenkjennes.

Videre vil en arbeidstakers adferdsmønster, slik som logg over internettsøk, også kvalifiseres som personopplysninger.

Helseopplysninger og tilknytning til fagforening er eksempler på sensitive personopplysninger. Vær oppmerksom på at det er strengere krav til behandling av sensitive personopplysninger.

Behandlingsgrunnlag

For å behandle personopplysninger kreves det et såkalt behandlingsgrunnlag. Dette innebærer at arbeidsgivere må ha et behandlingsgrunnlag for å behandle personopplysninger på arbeidstakere i hele livsløpet til et arbeidsforhold, herunder fra rekruttering til avslutning av ansettelsesforholdet.

WP29 (rådgivende organ) har uttalt at arbeidstakere sjelden har mulighet til å fritt avgi, nekte eller tilbakekalle samtykke, gitt det avhengighetsforhold som finnes i et ansettelsesforhold. Konsekvensene av dette blir at arbeidsgivere som hovedregel må basere seg på et annet behandlingsgrunnlag enn samtykke, som for eksempel at en arbeidsgiver har en "berettiget interesse” i å behandle personopplysningene. En arbeidsgiver som ønsker å anvende "berettiget interesse” som behandlingsgrunnlag må foreta en dokumentert interesseavveining mellom arbeidstakers personverninteresser og arbeidsgivers interesser.

Dersom arbeidsgiver har en rettslig forpliktelse, slik som innberetning av arbeidstakers lønn, vil den rettslige forpliktelsen kvalifisere som behandlingsgrunnlag.

Krav om personvernerklæring til ansatte

Virksomheten skal skriftlig informere om sentrale forhold ved arbeidsgivers behandling av arbeidstakers personopplysninger. Dette inkluderer identiteten og kontaktopplysningene til den behandlingsansvarlige, samt formålet med behandlingen.

Det skal også informeres om hvilket rettslig grunnlag virksomheten benytter seg av, hvem som har tilgang til personopplysningene, samt hvor lenge de ulike personopplysningene vil bli lagret.

Videre skal det også informeres om den ansattes rettigheter til å få innsyn i egne data, adgangen til å kreve retting, samt sletting av personopplysninger.

Innsyn i personopplysninger

Det er bare medarbeidere i virksomheten med et "tjenstlig behov" som skal ha tilgang til de ansattes personopplysninger, som eksempelvis HR-avdelingen og nærmeste leder. Det er således viktig at virksomheten har rutiner som sørger for at uvedkommende ikke får tilgang.

Lønnslipper til ansatte inneholder personopplysninger, og da ofte den ansattes fødselsnummer. En ansatt sitt fødselsnummer må sikres slik at dette ikke er tilgjengelig for uvedkommende. En vanlig e-post er en åpen kommunikasjonsform som ikke tilfredsstiller kravene til sikring. En løsning for virksomheten vil være å kryptere e-posten gjennom en portalbasert løsning med autentisering, slik at det bare er den enkelte ansatte som får tilgang til lønnsslippen.

Virksomhetens plikt til å slette personopplysninger

Et sentralt krav i lovgivningen er at behandlingen skal begrenses til det som er relevant og nødvendig for å tilfredsstille formålene. Dersom opplysningene ikke lenger er nødvendige, skal de slettes. Arbeidsgiver må ha etablert rutiner som sørger for at dette kravet blir overholdt.

Det er flere forhold som påvirker lagringstid. Det følger av WP29 at personopplysninger som samles inn i forbindelse med rekruttering skal slettes så snart det blir avklart at et tilbud om ansettelse ikke vil bli gitt, eller at tilbudet blir avslått av kandidaten.

Ulike typer arbeidsgivere kan ha forskjellig behov for lagring av personopplysninger. Lovgivning på andre områder kan imidlertid stille krav om en lengre lagringstid av visse opplysninger.

Lagringstiden kan også være styrt av at virksomheten har forpliktelser overfor den ansatte som fortsetter etter at arbeidsforholdet er avsluttet. I et konfliktfullt arbeidsforhold kan virksomheten se seg nødt til å foreta en videre lagring for å kunne gjøre gjeldende eller forsvare rettslige krav.

Advokater

Martin Jetlund
Magnus Lütken
Anette Øvrehus

Publisert

05. juli 2019