Hvilke krav om personvern gjelder i ansettelsesforhold?

Spørsmål fra arbeidsgiver: Hei, jeg driver en mellomstor bedrift og lurer på hvilke personvernkrav som stilles til oss når vi samler inn og behandler personopplysninger om våre ansatte. Hva må vi passe på, og hva er egentlig en personvernerklæring?

Advokatene svarer: Takk for et viktig spørsmål! Som arbeidsgiver har du ansvar for å ivareta dine ansattes personvern når du samler inn og bruker deres personopplysninger. La oss se kort på de viktigste kravene og hva en personvernerklæring er.

Personopplysningsloven, som bygger på EUs personvernforordning (GDPR), setter rammene for hvordan bedrifter skal behandle egne ansattes personopplysninger. Personopplysninger er alle opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Typiske personopplysninger er navn, adresse, telefonnummer, e-post, kontonummer og fødselsnummer. For såkalte «sensitive» personopplysninger, som for eksempel fagforeningsmedlemskap, oppstilles strengere krav til behandling.

For det første må du ha et gyldig grunnlag (behandlingsgrunnlag) for å samle inn og bruke personopplysninger. Dette kan være at behandlingen er nødvendig for å oppfylle arbeidskontrakten, eller at du har en berettiget interesse som veier tyngre enn den ansattes personvern. Et annet behandlingsgrunnlag etter loven er samtykke. Men vær oppmerksom på at samtykke i et arbeidsforhold ikke alltid regnes som frivillig og dermed ikke utgjør gyldig behandlingsgrunnlag.

Du må også sørge for at opplysningene du samler inn er relevante og nødvendige for formålet. For eksempel trenger du vanligvis ikke opplysninger om en ansatts fødselssted for å administrere arbeidsforholdet.

En viktig del av personvernreglene er åpenhet. Du må informere de ansatte om hvordan du behandler deres personopplysninger. Dette kan gjøres gjennom en personvernerklæring.

En personvernerklæring er et dokument som forklarer hvordan bedriften samler inn, bruker og beskytter personopplysninger. Den må inneholde informasjon om:

• Hvilke typer personopplysninger som registreres om den ansatte og hvor opplysningene kommer fra
• Formålene med behandling av personopplysninger
• Hvordan personopplysningene skal lagres og brukes
• Rettslig grunnlag for behandling av personopplysninger
• Hvem som har tilgang til opplysningene
• Hvor lenge opplysningene lagres
• Hvilke rettigheter de ansatte har, for eksempel retten til innsyn og retting
• Informasjon om kontrolltiltak som innsyn i e-post og kameraovervåkning
• Hvordan de ansatte kan ta kontakt hvis de har spørsmål om personvern, for eksempel hvem som er personvernansvarlig i virksomheten

Personvernerklæringen må være skrevet på et enkelt og forståelig språk, slik at alle ansatte kan forstå innholdet.

I tillegg til å ha en personvernerklæring, må du også sørge for god informasjonssikkerhet. Dette betyr at du må ha rutiner og systemer som beskytter personopplysningene mot uautorisert tilgang, endring eller tap. Det er kun de medarbeiderne i virksomheten som har et tjenstlig behov som skal ha tilgang til personopplysningene til de ansatte. Det betyr at medarbeidere som ikke har en saklig grunn til å se opplysningene, heller ikke skal ha tilgang.

Det er også viktig å huske på at ansatte har rett til innsyn i opplysningene du har om dem, og de kan be om at feilaktige opplysninger rettes eller slettes.

Til slutt vil vi nevne at hvis din bedrift behandler personopplysninger i stort omfang, eller behandler sensitive opplysninger, kan du være pålagt å utpeke et personvernombud. Ombudet skal gi råd om personvern og overvåke at reglene følges. Datatilsynet oppfordrer alle virksomheter til å ha et personvernombud, uavhengig om det er pålagt eller ikke.

Besvart av: Advokat Christine Frølich Jacobs og advokatfullmektig Margrete Fivelstad.