Hva betyr GDPR for arbeidsgivers nye personvernplikter i Norge?

Som følge av EUs nye personvernforordning (GDPR) mottar vi mange spørsmål fra arbeidsgivere som lurer på hva som må på plass for å sikre etterlevelse av regelverket. I denne artikkelen vil vi fokusere på arbeidsgivers personvernplikter i rekrutteringsprosessen, i ansettelsesforholdet og ved avslutning av arbeidsforholdet.

I en rekrutteringsprosess skjer det ulike behandlingsaktiviteter som å søke etter kandidater, informasjonsinnhenting fra kandidater, ulike typer bakgrunnssjekker, vurdering av kandidater og behandling etter avsluttet rekruttering. Etter avsluttet rekruttering ønsker gjerne arbeidsgiver å beholde informasjonen en viss tid med tanke på eventuelle klager på ansettelsesprosessen eller dersom det dukker opp nye aktuelle stillinger for kandidaten(e). I alle disse fasene oppstår det spørsmål knyttet til personvern.

 

Grunnleggende personvernprinsipper

Alle som behandler personopplysninger må opptre i samsvar med de generelle prinsippene i forordningens artikkel 5. Bestemmelsen inneholder blant annet krav om at behandlingen må være nødvendig for å nå formålet, at opplysningene må være korrekte og oppdaterte, og at opplysningene ikke skal lagres lenger enn nødvendig for å oppnå formålet. I tillegg er det krav om integritet og konfidensialitet. Disse kravene kommer inn i alle HR-prosesser hvor personopplysninger behandles.

I personopplysningsloven er behandlingsansvarlig definert som den som bestemmer formålet med behandlingen av personopplysninger, og begrepet «databehandler» er definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige.  

Noen virksomheter står for hele ansettelsesprosessen selv, mens andre benytter rekrutteringsbyråer. Det vil alltid være behandlingsansvarlig som har ansvaret for ivaretakelse av kandidatens rettigheter, og derfor bør man klargjøre hvem som har behandlingsansvar før rekrutteringen starter. Et rekrutteringsbyrå kan ha ulik rolle i de ulike fasene. Dersom rekrutteringsbyrået ikke er en selvstendig behandler av personopplysninger, vil de være en databehandler for virksomheten.

 

Behandlingsgrunnlag

Behandlingsgrunnlaget vil kunne endre seg underveis i en rekrutteringsprosess. I den innledende rekrutteringsfasen vil det for de fleste tilfeller være virksomhetens berettigede interesser som vil være behandlingsgrunnlaget. Det følger av forordningens artikkel 6. nr. 1 bokstav f at behandlingen er lovlig dersom:

«behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger […]»

Når man benytter en søknadsportal vil vanligvis samtykke være behandlingsgrunnlag. Slike portaler legger opp til å informere kandidaten om de nødvendige opplysninger og gi mulighet for samtykke. Et slikt samtykke må oppfylle forordningens krav etter artikkel 7. Hvis man ikke har en slik portal, må det på et tidspunkt vurderes om man har en plikt for å innhente samtykke for den behandlingen man foretar. Bruker man et rekrutteringsbyrå må man sjekke at de oppgir informasjon og innhenter samtykke på et naturlig trinn i prosessen.

Bakgrunnssjekk i åpne kilder på internett, for eksempel googlesøk, kan brukes til å kontrollere kompetanse eller finne andre opplysninger som det ellers ikke er så lett å få tak i. Ved å benytte denne typen søk vil man kunne finne ulik type informasjon, og man bør derfor holde seg til det som er jobbrelatert. Det vil være en god praksis å sjekke med kandidaten om informasjonen man finner er korrekt. Særlig gjelder dette hvor man finner informasjon som ikke er fordelaktig.

 

Avsluttet rekruttering

Etter at rekrutteringsprosessen er avsluttet får kandidaten et tilbud eller avslag. For den som får jobb vil man ha behandlingsgrunnlag for å lagre informasjonen man har innhentet i søknadsprosessen videre. Likevel bør man sjekke om det er overskuddsinformasjon som bør slettes. Hvis kandidaten ikke får jobb må opplysningene om vedkommende slettes innen rimelig tid. Dersom man ønsker å beholde en kandidats opplysninger for en lengre periode må det innhentes samtykke. Arbeidsgiver må vurdere formål, behandlingsgrunnlag og hvor lenge informasjonen kan lagres. I en klage- eller søksmålssituasjon på bakgrunn av ansettelsen, kan det være nødvendig å lagre opplysningene en viss periode. Ettersom tiden går reduseres sannsynligheten for søksmål, og man bør derfor vurdere sletting fortløpende. Her er praksis ulik mellom ulike virksomheter og behovet for lagring vil være forskjellig.

 

Arbeidsavtalen

Arbeidsavtaler følger arbeidsmiljølovens regler og vil alene danne grunnlag for å behandle enkelte opplysninger i arbeidsforhold. Det følger av forordningens artikkel 6 nr.1 bokstav b at behandlingen er lovlig hvis

«behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse»

Behandling av nødvendige personopplysninger som følge av et arbeidsforhold vil være basert på oppfyllelse av arbeidsavtalen. Det er blitt vanlig at man i tillegg inntar en egen personvernklausul i arbeidsavtalen. I en slik klausul kan man regulere særlige forhold knyttet til personvern og innhente et lovlig samtykke for å behandle ytterligere personopplysninger som det ellers ikke vil være adgang til. Behandling av personopplysninger i ansettelsesforhold kan typisk være publisering av bilder som er strengt vernet i Norge etter både åndsverksretten og personvernretten. Derfor kan det være lurt å regulere dette i en arbeidsavtale. På Datatilsynet sine hjemmesider heter det at:

«Arbeidsgiveren din skal i utgangspunktet be om ditt samtykke før det publiseres bilder av deg på virksomhetens nettsider. Dette gjelder både når nettsidene det er snakk om er åpne (internett) eller interne i virksomheten (intranett).»

For at arbeidsgiver skal kunne benytte den ansattes bilder må bruken altså være klarert med den enkelte. Selv om det ikke er noen formkrav til avgivelsen av dette samtykket, er en ryddig fremgangsmåte å regulere dette i en arbeidsavtale eller i interne retningslinjer som den ansatte må signere og overholde.

 

Personopplysninger i personalmappen

Personalmappen vil omfattes av GDPR og arbeidsgiver må ha kontroll på hva som lagres og hvem som har tilgang. Det må videre være rutiner for at det som lagres er saklig og relevant. Relevansen vil avta med tiden, men det vil likevel være aktuelt å lagre noen dokumenter i hele ansettelsesperioden. Enkelte dokumenter vil det også være behov for å lagre etter at ansettelsesforholdet har opphørt. Datatilsynet har hatt en del saker til behandling, og uttaler følgende på sine nettsider:

«Arbeidsgiver skal ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med bruken av opplysningene. Dette innebærer at arbeidsgiver må ha rutiner for gjennomgang av lagret informasjon. Arbeidsgiver må vurdere hvor ofte det er behov for en slik gjennomgang».

Arbeidsgiver må altså gjøre sin egen vurdering av hva som er normal lagringstid. Fullautomatisk sletting vil være vanskelig da det vil være nødvendig med en menneskelig vurdering. Når det gjelder saker om varsling, arbeidsmiljø, mobbing og lignende hvor arbeidsgiver har gjort en kartlegging, må det gjøres en konkret vurdering av hvorvidt det er rettmessig å lagre opplysningene og når de bør slettes. Det anbefales å gi en muntlig eller skriftlig indikasjon til den ansatte på hvor lenge opplysningene skal lagres. Man kan for eksempel opplyse følgende i et skriftlig varsel: «Dersom det ikke oppstår nye kritikkverdige forhold vil denne advarselen tas ut av personalmappen om 3 år».

Det er ikke alle arbeidsgivere som klarer å samle all informasjon i en personalmappe. Erfaringsvis ligger det en del ustrukturert data som ikke er sortert og organisert i virksomheten, noe som er en stor utfordring med det nye regelverket. Det kan ligge informasjon i e-poster og personlige områder. Det vil være vanskelig å utføre sletteplikten og innsyn når man ikke har oversikt over all informasjon som er lagret. Her bør den enkelte virksomhet i størst mulig grad jobbe for å unngå ustrukturerte data både på kort og lang sikt, og i den forbindelse gjerne opprette eller utvikle egne interne rutiner. Underveis i ansettelsesforholdet må man forsøke å begrense hvilken informasjon man oppbevarer og foreta en løpende oppdatering av personalmappen. Dette vil kreve en viss grad av individuelle vurderinger og det vil være vanskelig å overlate dette til et datasystem. Man bør ha en enhetlig behandling underveis i virksomheten og det må vurderes konkret hva som er praktisk for hver enkelt virksomhet. Istedenfor å ha eksakte slettefrister kan det være fornuftig å ha tidsintervaller på at de enkelte dokumentene skal slettes mellom 1-3 år, slik at det kan gjøres en viss vurdering underveis. Dersom virksomheten velger å innføre et system med automatisk sletting bør det legges opp til at det sendes ut et varsel til for eksempel HR-avdelingen eller nærmeste leder slik at sletting kan stoppes hvis det er relevant.

 

Avslutning av arbeidsforholdet

Den dagen den ansatte slutter er det viktig at man ivaretar både arbeidsgivers og den ansattes interesser hva gjelder personopplysninger. Det er en fordel å ha skriftlige rutiner ved avslutning av arbeidsforhold hvor man har en formalisert prosess og gjennomgår faste punkter. For arbeidsgivers del er det viktig å påse at virksomhetens interesser er ivaretatt og at det som er av virksomhetsrelatert informasjon blir overført fra den ansatte og lagret der hvor det hører hjemme. Arbeidsmiljøloven har strenge reguleringer om arbeidsgivers tilgang til ansattes e-post og private mapper.

Datatilsynet sier på sine hjemmesider:

«Når en ansatt slutter i en virksomhet skal arbeidsgiveren gjennomgå personalmappen og slette unødvendig informasjon. Arbeidsgiver kan fortsatt lagre opplysninger for eksempel om hvem som har jobbet i virksomheten, hvor lenge og hva de gjorde».

Det vil i praksis kunne være en vanskelig vurdering å avgjøre hvor lenge opplysninger skal lagres. I en slik vurdering må man spørre seg om hva som er formålet med behandlingen etter at arbeidsforholdet er avsluttet. Det kan være bokføringsloven som krever at opplysninger oppbevares for et gitt antall år. Personaladministrative forhold, som informasjon om hvor lenge de var ansatt og hva de jobbet med, vil kunne lagres for alltid. Dette er opplysninger som også er relevante eksempelvis for fremtidige forsikrings- eller pensjonssaker og som vil kunne ha betydning langt frem i tid. 

For dokumentasjon som kan være viktig i et etterfølgende krav eller tvist, som for eksempel ved nedbemanning, bør man beholde dette så lenge det kan reises krav etter arbeidsmiljøloven eller annet regelverk. For annen type informasjon om tidligere ansatte, som for eksempel kontaktinformasjon for invitasjoner til fremtidige firmaarrangementer, vil dette være noe den enkelte må samtykke til.

Virksomheter bør lage en rutine for sletting med oversikt over hvilke opplysninger man har, og hvilke lovpålagte oppbevaringsplikter man har. Her vil det være forskjell mellom private og offentlige virksomheter, da det offentlige for eksempel må forholde seg til kravene som følger av arkivloven. Ved utarbeidelse av sletterutiner må man vurdere hva som utgjør grunnlaget for videre behandling og lagring utover de lovbestemte forpliktelsene. Det vil være et spørsmål om å identifisere de berettigede interessene virksomheten har for lagring, jf. forordningens artikkel 6 bokstav f. For sensitive opplysninger finner man hjemmel for behandlingsgrunnlaget i artikkel 9. Hver enkelt virksomhet kan ha ulike behov når det gjelder lagringstid, slik at det må foretas en konkret vurdering. Man bør kunne vise til hvilken vurdering man har gjort og at vurderingen er forsvarlig dersom man skulle få besøk av Datatilsynet.

Alle disse pliktene og de nødvendige rutinene forutsetter god kontroll på behandling og oppbevaring av personopplysninger, noe som vil være krevende for de fleste virksomheter. I tillegg er det slik at forordningens regler, som for eksempel sletteplikten, også gjelder for ustrukturerte data. Plikten til å gi ansatte innsyn gjelder også for ustrukturerte data, noe som er svært krevende å håndtere. Det er vanskelig å gi et konkret råd om hvordan dette skal håndteres, men her bør det jobbes med å redusere omfanget av ustrukturerte data i tiden fremover. Man bør for eksempel slette gammel informasjon når man rydder opp i bedriftenes systemer og arkiver.

Et spørsmål som gjerne dukker opp er håndtering av opplysninger på back-up. Med back-up menes en sikkerhetskopi som gjør at man kan gjenopprette data. Etter regelverket er det ikke noe unntak for denne typen opplysninger og det vil omfattes av forordningens regler. Problemet oppstår hvis noen ber om innsyn i en opplysning som er slettet, men som fortsatt er lagret i back-up. I praksis er dette svært krevende å håndtere. Her vil det være fornuftig å finne ut av hva virksomhetens systemleverandør gjør, og sammen forsøke å finne en mest mulig praktisk løsning for bedriften. Sletting av back-up bør være regulert i databehandleravtale og overskrivning av data bør skje med jevne intervaller.

 

Hva bør dere gjøre nå?

De virksomheter som behandler opplysninger om sine ansatte i tråd med dagens regelverk vil være godt forberedt da mye vil være likt i den nye personvernforordningen. Likevel bør alle rutiner internt gjennomgås, og der den nye forordningen medfører endringer må hver enkelt virksomhet gjøre en konkret vurdering av hvordan man må tilpasse seg for å etterleve den nye personvernforordningen. Dersom man ikke har på plass det som er nødvendig for å etterfølge det nye regelverket så bør man begynne allerede nå.

                                                 

Hva kan vi hjelpe deg med å få på plass for å sikre etterlevelse av regelverket?

  • Behandlingsprotokoll
  • Internkontrollsystem med tilhørende rutiner, f eks
    • Rutiner for sletting, avvikshåndtering, innebygget personvern
    • Rutiner for varsling, granskning, innsyn i e-post, sletting, rutiner ved avslutning av ansettelsesforhold
    • Rutiner for revisjon og kontroll av etterlevelse
    • Rutiner for inngåelse av databehandleravtaler
    • Maler for taushetserklæringer, arbeidsavtaler, informasjon til ansatte mv.
  • Databehandleravtaler
  • Personvernerklæring

Skrevet av Anders Bjønness.