Personvern angår deg som leder

Arbeidsgiver behandler en rekke personopplysninger om ansatte, eksempelvis navn, adresse, sykemeldinger, bilder, permisjonssøknader og CV.

Personvernforordningen oppstiller en rekke plikter for deg som arbeidsgiver, og de ansatte har en rekke rettigheter for å verne deres personvern. Det er derfor viktig at du som leder tar personvern på alvor.

I denne artikkelen peker vi på noen forhold du som arbeidsgiver må ha på plass, for å sikre personvernet til dine ansatte.

Ha oversikt over alle personopplysninger

For at du som arbeidsgiver skal kunne behandle personopplysninger om ansatte må det foreligge behandlingsgrunnlag og formål. Arbeidsgiver må knytte formål og behandlingsgrunnlag til hver enkelt personopplysning virksomheten behandler om ansatte.

Det er derfor viktig at du som arbeidsgiver har oversikt over alle ansattopplysninger virksomheten har, og hva som er formålet og behandlingsgrunnlagene for disse.

Typiske behandlingsgrunnlag for at arbeidsgiver skal kunne behandle ansattopplysninger, er at personopplysning er nødvendig for å oppfylle forpliktelser i arbeidsavtalen eller i arbeidsmiljøloven eller folketrygdloven. Eksempler på formål er lønnskjøring, behandling av permisjonssøknader, nødvendig for å identifisere ansatte og annen personalforvaltning.

Iverksett tiltak som sikrer informasjonssikkerheten

Som arbeidsgiver må du sørge for at personopplysninger til de ansatte er tilstrekkelig sikret mot at uvedkommende får tilgang til disse og at de kan bli uautorisert rettet eller slettet, og at du som arbeidsgiver har tilgang til ansattopplysningene når du trenger dem.

Eksempler på tiltak for å sikre personopplysninger er; bruk av sikkert passord, tilgangsstyring av systemer med personopplysninger og kryptering når personopplysninger sendes som e-post.

Lag gode rutiner

For å sikre at arbeidsgiver behandler personopplysninger i tråd med personvernregelverket, må virksomheten ha rutiner. Eksempler på rutiner arbeidsgiver bør ha er; årlig gjennomgang av personalmappe, sjekkliste når ansatte slutter, IT-sikkerhetsrutiner for ansatte og sjekkliste for innføring av kontrolltiltak.

Ha et bevisst forhold til GDPRs sletteregler

Etter personvernforordningen skal personopplysningene blant annet slettes når de ikke lengre er nødvendig for det opprinnelige formål de ble innhentet for.

Dette innebærer at lagringstiden er ulike for forskjellig typer personopplysninger arbeidsgiver har fått som følge av arbeidsforhold og rekruttering:

Personopplysninger om nåværende ansatte

For mange av de ansattes personopplysninger er arbeidsavtalen behandlingsgrunnlaget for arbeidsgivers bruk og lagring av disse opplysningene. Der arbeidsavtalen er grunnlaget for behandlingen, er utgangspunktet at arbeidsgiver kan lagre personopplysninger om den ansatte så lenge ansettelsesforholdet varer. Som hovedregel vil arbeidsgiver også kunne lagre personopplysninger i hele ansettelsesperioden, dersom grunnlaget er arbeidsmiljøloven eller folketrygdloven.

Arbeidsgiver må imidlertid alltid gjøre en konkret vurdering av hvor lenge personopplysningene om nåværende ansatte kan beholdes. Eksempelvis for advarsler som er gitt lang tid tilbake.

Regnskapsrelatert informasjon som lønnslipper og reiseregninger lagres i henhold til bokføringslovens regler.

Personopplysninger om tidligere ansatte

For personopplysninger som arbeidsgiver bruker til personaladministrasjon, vil som hovedregel arbeidsforholdets opphør markere yttergrensen for akseptabel lagringstid. Personopplysninger om ansatte som har sluttet, skal som hovedregel slettes.

Det er imidlertid en rekke praktiske unntak fra dette, eksempelvis som følge av særregler som pålegger arbeidsgiver lengre lagringstid. Eksempelvis arkivloven for offentlige arbeidsgivere og bokføringsloven.

I tillegg kan videre oppbevaring være nødvendig, eksempelvis for å forsvare eller gjøre gjeldende et rettskrav i forbindelse med en oppsigelsessak om erstatning for usaklig oppsigelse, illojalitet, trakassering etc.

Arbeidsgiver vil ofte ha behov for å beholde opplysninger om eksempelvis hvem som var ansatt til enhver tid, på grunn av historiske eller administrative årsaker.

Personopplysninger fra rekrutteringsprosesser

Personopplysninger som er innhentet som ledd i en rekrutteringsprosess, skal slettes når kandidaten ikke er relevant lengre. Dersom arbeidsgiver ønsker å beholde kontaktdata til en kandidat som kan være aktuell for en jobb senere, må arbeidsgiver be om skriftlig samtykke fra vedkommende.

Kilde: www.sticos.no