GDPR i et HR-perspektiv – personopplysninger på arbeidsplassen

Alle arbeidsgivere behandler personopplys­ninger om de ansatte og plikter da, som ellers, å følge personvernregelverket. EUs person­vernforordning, «GDPR», trådte i kraft i Norge 20. juli 2018 og skjerper kravene til håndtering av personopplysninger. I denne artikkelen gjen­nomgår advokat Lise M. Østensjø Waage praktiske konsekvenser av GDPR fra et HR-perspektiv.

Lise M. Østensjø Waage er partner i Advokatfirmaet Eurojuris Haugesund AS og hun er firmaets personvernansvarlig. Hun arbeider ellers særlig med fast eiendoms rettsforhold og insolvens.

  1. OVERORDNET – PERSONVERN OG GDPR

Personvernregelverket gjelder kun når man «behandler personopplysninger». Det er derfor viktig å ha klart for seg hva «personopplysning» og «behandling» er. Med personopplysning menes «enhver opplysning om en identifisert eller identifiserbar …person», for eksempel bankkonto, fingeravtrykk eller alder. Også passe-ringsinformasjon fra adgangskontrollsystemer, føringer i timeregistreringssystemer og eventuelle arbeidsrettslige advarsler er aktuelle personopp­lysninger i arbeidsforhold.

En e-postadresse som inneholder ansattes navn (fornavn.etternavn@arbeidsgiver.no), vil også være en personopplysning.

GDPR sondrer mellom ordinære og «særlige kategorier av» personopplysninger, hvor sist­nevnte er underlagt strengere krav. Dette gjelder blant annet opplysninger om sykdom og helse, etnisk opprinnelse, religion og straffbare forhold.

Arbeidsgivere bør merke seg at også opplysning om fagforeningsmedlemskap er «særlige» opplys­ninger. I dagligtale omtales slike opplysninger som regel som «sensitive personopplysninger».

«Behandling» av personopplysninger omfatter enhver tenkelig operasjon med opplysningene, for eksempel å samle inn, lagre, endre, slette eller å overføre opplysningene til andre. For å gjøre dette må man ha «behandlingsgrunnlag». Det kan være en avtale eller et samtykke, eller for eksempel at behandlingen er nødvendig for å oppfylle en rettslig forpliktelse.

En virksomhet kan aldri lovlig behandle person­opplysninger i større utstrekning enn nødvendig. Videre plikter virksomheter å sikre at person­opplysninger de behandler, er korrekte og tilgjen­gelige, og at de behandles konfidensielt.

  1. KORT OM HVA SOM ER ENDRET OG KRAV TIL INTERNKONTROLL

GDPR skjerpet kravene til bedriftenes egenkon-troll, og har samtidig innført et skyhøyt bøtenivå for overtredelser. En del plikter fulgte allerede av personopplysningsloven av 2000. Erfaring viser imidlertid at de færreste bedrifter oppfylte kravene i den loven. For virksomheter som enda ikke har etablert dokumenterte personvern­rutiner, haster det med å få dette på plass.

Gjennom internkontroll plikter alle virksomheter å kartlegge egen bruk av personopplysninger, eksisterende rutiner og hva som eventuelt mangler. Bedriftene må sikre at de har behand­lingsgrunnlag for personopplysningene de håndterer, og de må ha gode nok internprose­dyrer. Fra et HR-perspektiv er det særlig viktig å kartlegge håndtering av ansattes og jobbsøkeres personopplysninger.

  1. GDPR UNDER REKRUTTERING

Potensiell arbeidsgiver har behandlingsgrunnlag for å innhente informasjon om jobbsøkerne i den grad som er nødvendig og relevant for stillingen. Søker man etter barnehagemedarbeider eller advokatfullmektig, kan arbeidsgiver for eksempel kreve vandelsattest, men ikke at jobbsøker leverer bilde eller oppgir vitale mål. Motsatt antas det å være uproblematisk å kreve bilde og vitale mål i utlysning av stilling som fotomodell. Da vil man imidlertid neppe kunne etterspørre straffe­utskrift.

Den som personopplysningene gjelder, skal informeres om dette. Jobbsøkere skal blant annet informeres om hvilken informasjon som innhentes, hvordan personopplysningene lagres, hvem som er personvernansvarlig, lagringstid og om opplysningene deles videre. De nye personvernreglene legger større vekt på at infor­masjonen må være enkel og lettfattelig.

Informasjonen kan gis i utlysningstekst eller som henvisning til en personvernerklæring eller nærmere informasjon på virksomhetens nettsted. Personopplysninger om jobbsøkerne kan aldri lagres i lengre tid enn nødvendig. Hva som er nødvendig lagringsperiode, beror på om den aktuelle søker ble ansatt eller ikke.

3.1 Jobbsøkere som ikke blir ansatt

Når én søker er ansatt, bortfaller arbeidsgivers grunnlag for å lagre søknadsdokumentasjon om de andre søkerne (som ikke nådde opp). Dette innebærer at alle kopier av søknader mv. må slettes. Sletteplikten gjelder alle medier, både dokumentasjon lagret på papir, elektronisk, på server eller eventuelt i e-postmapper.

Dersom arbeidsgiver ønsker å beholde en kandi­dats søknadsdokumenter etter at en annen er blitt ansatt, krever dette nytt behandlingsgrunnlag. I praksis sikres dette ved å be kandidaten samtykke til fortsatt lagring. Mange søkere ønsker dette, for å kunne komme i betraktning for frem­tidige stillinger. Et slikt samtykke må være skriftlig, må angi avtalt lagringstid, og må angi at søker når som helst kan tilbakekalle samtykket.

3.2 Jobbsøkere som blir ansatt

For søkeren som ble ansatt, kan arbeidsgiver oppbevare søknadsdokumentene (CV, attester og vitnemål) i personalmappen gjennom hele ansettelsesforholdet. For annen dokumenta­sjon fra ansettelsesprosessen, avhenger lovlig lagringstid av hva som anses nødvendig. Dette må vurderes konkret. En kredittsjekk eller vandelsattest som er blitt innhentet, må normalt slettes ved ansettelsen. For slike opplysninger anses det tilstrekkelig for arbeidsgiver å doku­mentere at slik informasjon er innhentet og klarert.

Er det innhentet referanser eller personlighets­tester, antas det normalt at dette kan lagres på personalmappen ut prøvetiden. Slik dokumenta­sjon må altså slettes ved prøvetidens utløp. Dokumentasjonen anses ikke lenger relevant dersom den ansatte har fått fortsette ansettel­sesforholdet etter prøvetidens utløp.

3.3 Krav til personvernrutiner hos arbeidsgiver

Arbeidsgiver må sikre at kun ansatte som er direkte involvert i rekrutteringsprosessen, gis tilgang til opplysninger om jobbsøkere. Tilgang må begrenses både til elektronisk dokumentasjon og papirbaserte søknader, slik at kun rekrutterende ledere og involverte HR-medarbeidere har innsyn. Arbeidsgiver må være ekstra påpasselig med sensitiv informasjon, for eksempel om straff­bare forhold eller handikap. Arbeidsgivere bør ha rutiner for tilgangsbegrensning av søknadsdoku­mentene.

Videre bør bedriften ha rutiner for sletting av søknadsdokumentasjon etter gjennomført ansettelsesprosess (ref. punkt 3.1 og 3.2). Velger bedriften å innhente samtykke for fortsatt lagring, må man ha rutiner for oppfølging og sletting ved utløp av avtalt lagringstid.

Dersom bedriften benytter et rekrutteringsbyrå, vil byrået sannsynligvis behandle personopplys­ninger på bedriftens vegne. I så fall anses rekrut­teringsbyrået som «databehandler» for bedriften, og det må inngås en databehandleravtale. Avtalen skal sette rammene for rekrutterings­byråets behandling av personopplysninger på virksomhetens vegne, og bør for eksempel sikre at byrået ikke kan selge kandidatenes kontakt­informasjon til annonsører.

  1. GDPR OVERFOR ANSATTE

Arbeidsavtalen gir arbeidsgiver behandlings­grunnlag for å behandle de ansattes person­opplysninger. Også her kan man kun behandle de personopplysninger som er nødvendige som følge av ansettelsesforholdet. Arbeidsgiver må for øvrig følge dokumentasjonskrav blant annet etter bokførings-, skatte- og folketrygdlovgivningen, og vil ha lovlig behandlingsgrunnlag også for dette.

4.1 Personalmappen

Informasjon om en ansatt lagres ofte i en personal­mappe. Denne inneholder typisk arbeidsavtale, jobbsøknad og CV, referater fra medarbeidersamtaler, kurs- og kompetansebevis, lønnsjuste­ringer og eventuelle arbeidsrettslige advarsler.

Utgangspunktet er at slik dokumentasjon kan lagres gjennom hele ansettelsesforholdet. For informasjon av negativ karakter, for eksempel arbeidsrettslige advarsler eller ilagt ordenstraff, må utgangspunktet likevel modereres. En advarsel kan ikke lagres om den er så gammel at den åpenbart ikke lenger kan gi grunnlag for restriksjoner mot den ansatte. Etter så lang tid har advarselen ikke lenger noen funksjon, og anses ikke lenger nødvendig for arbeidsgiver å lagre. En del virksomheter har rutiner om at advarsler skal slettes etter fem år, dersom det ikke i mellomtiden har kommet opp nye tilsvarende forhold. Dette antas å gi et greit utgangspunkt, men må vurderes konkret for det enkelte tilfellet.

4.2 Bruk av bilder av ansatte

Mange arbeidsgivere ønsker å presentere de ansatte med bilde på hjemmesiden og i markedsføringsmateriell. Siden dette sjelden er en nødvendig konsekvens av arbeidsavtalen, må arbeidsgiver ha samtykke fra den ansatte til dette. Uten samtykke vil arbeidsgiver mangle behandlingsgrunnlag for å bruke bildet. I så fall risikerer arbeidsgiver bøter fra Datatilsynet.

Kravet om samtykke gjelder kun for profilbilder, dvs. portrett av en enkelt ansatt. Situasjonsbilder (der en ansatt er avbildet sammen med andre i jobbrelatert situasjon), krever i utgangspunktet ikke samtykke fra alle som er avbildet. Også her bør imidlertid arbeidsgiver utvise skjønn og sørge for samtykke dersom en ansatt er særlig i fokus.

For at et samtykke skal være gyldig, må det være frivillig avgitt, med informasjon om at samtykket når som helst kan tilbakekalles. En ansatt som ikke samtykker, skal ikke bli møtt med sanksjoner eller kritikk. Det kan stilles spørsmål ved om frivillighetskravet er oppfylt dersom arbeidsgiver ber den nyansatte signere ansettelsesavtale og samtykke samtidig. I en slik situasjon vil den ansatte kunne føle seg presset til å signere i frykt for ellers ikke å få jobben.

4.3 Tilgangsbegrensning og informasjon

Arbeidsgiver må sikre at bare ansatte som har saklig behov for det, har tilgang til andre ansattes personopplysninger. Dette vil typisk være regn­skaps- eller HR-medarbeidere. I praksis sikres dette ved å oppbevare eventuell papirdokumen­tasjon i avlåste skap, og å sørge for adgangsbe­grensning også for elektroniske personalmapper og annen dokumentasjon.

De ansatte må informeres om hvordan arbeids­giver behandler deres personopplysninger. Slik informasjon kan praktisk gis i en personvern­erklæring eller personalhåndbok. Arbeidsgiver må blant annet informere de ansatte om hvem som er virksomhetens behandlingsansvarlig (leder), eventuelt personvernombud, hvordan opplysningene sikres, hvor lenge de lagres, og om opplysningene deles.

Dersom det foretas logging eller overvåking av ansatte, er det særlig viktig å informere om dette. Dersom arbeidsgiver for eksempel har video­overvåking eller GPS-sporing av arbeidsbiler («flåtestyring»), er dette opplysninger de ansatte har krav på å få. Ved slik overvåking stiller også arbeidsmiljøloven krav til saksbehandlingsrutiner, drøfting med tillitsvalgte og varsling.

Av hensyn til informasjonssikkerhet er arbeidsgiver pålagt å ha sikkerhetslogg av IT-systemet. Slik logging begrenses som regel til å registrere brukers IP-adresse og på-/avloggingsaktivitet på system eller applikasjon. Både IP-adresse og påloggingsinformasjon er å anse som person­opplysninger, og de ansatte må derfor varsles også om slik logging. Normalt lagres slik informa­sjon «anonymt» (uten å knyttes til en bestemt person) og slettes løpende, slik at man kun når det avdekkes et konkret sikkerhetsproblem, sjekker hvilken bruker problemet er knyttet til. I så fall må bedriften følge regelverket for innsyn i ansattes e-post / logget informasjon i henhold til arbeidsmiljøloven.

4.4 Rutiner for lagring

Arbeidsgivers innsyn i ansattes e-post eller private område på datamaskinen er svært strengt regulert både i personvernlovgivningen og arbeidsmiljøloven. Dette kan by på praktiske problemer dersom rutinene ikke er gode nok. Et praktisk tips er å ha rutiner om at all virksom-hetsrelatert informasjon skal lagres på bedriftens fellesområde, og at firmaets e-postadresser kun skal benyttes til jobbrelatert korrespondanse. Dette sikrer at virksomhetssensitiv informasjon ikke kun er tilgjengelig for en enkelt ansatt, men for alle som måtte trenge den. Videre unngår arbeidsgiver merarbeid med å måtte gjennomgå den ansattes e-postkonto ved avslutningen av arbeidsforholdet, ref. punkt 5.1. Dersom den ansatte likevel skulle bruke e-postadressen til privat korrespondanse, bør dette lagres i en egen mappe merket «privat».

4.5 De ansattes innsynsrett

De ansatte har innsynsrett i egne personopplys­ninger og i egen personalmappe. De kan også kreve å motta alt arbeidsgiver har registrert om dem i «elektronisk, overførbart og lesbart format».

Dette kravet til dataportabilitet er nytt ved GDPR. Den ansattes innsynsrett er samtidig utvidet og omfatter nå også arbeidsgivers eventuelle interne notater og vurderinger. Arbeidsgivere bør derfor nå være mer bevisst enn tidligere på hva de lagrer.

Arbeidsgiver bør videre ha rutiner for håndtering av innsynsbegjæringer fra ansatte, med retnings­linjer for hvem som er ansvarlig og hvordan begjæringene skal følges opp. Hva som skal utleveres, kan i noen tilfeller bero på en avveining mot forretningshemmeligheter og taushetsbelagt informasjon. Bedriftens rutiner for innsyns­begjæringer bør ivareta dette.

De ansattes rett til innsyn har også en IT-teknisk side: Virksomhetens IT-løsninger bør bidra til at etterspurte personopplysninger lett kan fremskaffes og leveres elektronisk til den ansatte. Også dette kravet til «innebygd personvern» er nytt ved GDPR.

  1. GDPR NÅR ANSATTE SLUTTER

Når en ansatt slutter, opphører ansettelses­avtalen. I utgangspunktet bortfaller da arbeids­givers behandlingsgrunnlag for å behandle vedkommendes personopplysninger. Arbeidsgiver er likevel pålagt å oppbevare en del dokumenta­sjon, blant annet etter bokføringslovgivningen. I tillegg kan arbeidsgiver ha «berettiget interesse» til å oppbevare informasjon, f.eks. ved tvist om oppsigelse eller avskjed, ref. punkt 5.2.

Det er viktig at bedrifter har gode rutiner for å slette dokumenter og sikre virksomhets­informasjon når ansatte slutter.

5.1 Datautstyr og brukertilganger

Arbeidsgiver må senest siste arbeidsdag sikre at ansatte returnerer alt utstyr (mobil, PC, adgangskort, nøkler, eventuelt firmakort mv.). Dette handler både om IT-sikkerhet og tilgangskontroll til virksomheten. Mange arbeidsgivere lar den som slutter, beholde telefon eller PC, gjerne uten å reflektere over sikkerhetsrisikoen ved dette. Skal dette være aktuelt, er det viktig at IT-leverandøren først sletter innholdet på sikker måte.

Den ansattes brukerkonti/-tilganger må også stenges når vedkommende slutter. Det bør legges inn fraværsmelding på e-postkonto med informasjon om nytt kontaktpunkt, for å sikre at ikke informasjon som sendes per e-post, går tapt. Kontoen og fraværsmeldingen må ifølge Data­tilsynet avsluttes etter en «kort periode». En periode på 1 måned anses helt klart akseptabel i den forbindelse.

Før den ansatte slutter, må arbeidsgiver sørge for at han eller hun gjennomgår e-postkonto og privat område på PC og sletter all privat infor-masjon. Like viktig er det å sikre at ingen virk-somhetsrelatert informasjon kun er lagret lokalt hos den ansatte. Den ansatte må sørge for at all slik informasjon lagres på fellesområdet. Poenget her er å unngå at det blir liggende informasjon på tidligere ansatts IT-utstyr som arbeidsgiver ikke får tilgang til.

Disse prosessene forenkles om den ansatte har fulgt rutiner om at alt som er firmarelatert skal lagres på fellesområdet. I så fall kan innhold på PC/telefoner slettes, uten at noe går tapt. Alternativt kan arbeidsgiver siste arbeidsdag be den ansatte bekrefte skriftlig at all privat informasjon er slettet. I så fall antas at terskelen for arbeidsgivers innsyn i den tidligere ansattes e-post / private område vil bli senket noe, ref. punkt 4.4. Prosedyrene for innsyn må likevel følges.

I tilfeller der det inngås sluttavtale med en ansatt, anbefales det at avtalen angir at all privat infor­masjon er slettet.

5.2 Personalmappen og bilder

Også personalmappen må gjennomgås og ryddes når en ansatt slutter. Mange arbeidsgivere synder her og oppbevarer mapper på alle tidli­gere ansatte, gjerne over flere tiår.

Utgangspunktet er at all informasjon som ikke er nødvendig, må slettes siste arbeidsdag. Dette gjelder blant annet den opprinnelige jobbsøk­naden og CV, informasjon om fagforenings­medlemskap og dokumentasjon om lønnsfor-handlinger. Vi får ofte spørsmål om hvor raskt slik informasjon må slettes, og om dette må skje «på dagen». I praksis regnes det som tilstrekkelig om virksomheten sørger for dette «innen rimelig tid». I den grad man oppbevarer informasjon etter at en ansatt har sluttet, er det imidlertid ekstra viktig å sørge for at dette tilgangsbe-grenses.

Eventuelle profil-/portrettbilder av de ansatte til bruk på hjemmeside e.l. må slettes når arbeidsforholdet avsluttes. Dette bør skje siste arbeidsdag, da det ikke kan legges til grunn at den ansattes samtykke fortsatt gjelder etter at ansettelsesforholdet er slutt. Situasjonsbilder kan man imidlertid normalt beholde (ref. punkt 4.2).

For annen informasjon må det vurderes konkret hva det er nødvendig og forsvarlig å beholde.

Er det grunn til å tro at det kan oppstå arbeids­rettssak om opphøret av arbeidsforholdet, må arbeidsgiver åpenbart kunne beholde personal­mappen, med dokumentasjon om ureglementert fravær og arbeidsrettslige advarsler mv. I slike tilfeller har arbeidsgiver en berettiget interesse til å oppbevare dokumentasjonen frem til alle søksmålsfrister er utløpt. I tilfeller der anset­telsesforholdet er avsluttet ved avskjed, kan det argumenteres for at arbeidsgiver bør kunne beholde informasjon om dette i virksomhetens levetid, for å unngå risiko for at vedkommende skulle bli ansatt på nytt.

  1. OPPSUMMERING

GDPR skjerper plikten til å ha en dokumentert internkontroll på personvernområdet. Alle virk­somheter anbefales å ha skriftlige rutiner for de forhold som er gjennomgått i denne artikkelen. Advokatfirmaene i Eurojuris Norge bistår mange virksomheter med kartlegging og utarbeidelse av slike rutiner.