Riktig håndtering av personopplysninger
Advokatfullmektig Maria Eek Stefansson og advokat Kari Bergeius Andersen fra advokatfirmaet SBDL under konferansen Arbeidsrett for HR og ledelse.

Riktig håndtering av personopplysninger

Gjennom nøkkelkort, kjørebøker, e-post og personalmapper samler arbeidsgiver inn et lite hav av personopplysninger. Det er lett å trå feil, var et av budskapene på årets arbeidsrettskonferanse for HR- og ledelse.

     

mandag 20. juni 2016 Knut Arild Vold

Personvern i arbeidslivet var et av temaene under årets arbeidsrettskonferanse for HR og ledelse i Oslo.

Advokat Kari Bergeius Andersen og advokatfullmektig Maria Eek Stefansson fra advokatfirmaet SBDL var hentet inn for å gå gjennom noen av problemstillingene arbeidsgivere må forholde seg til ved behandling av personopplysninger.

Alle faser av arbeidsforholdet

Andersen og Stefansson understreket i sitt seminar at behandling av personopplysninger er noe arbeidsgiver må forholde seg til gjennom hele ansettelsesforholdet.

Allerede før en person blir ansatt henter arbeidsgivere inn og bearbeider opplysninger knyttet til søknader, intervjuer, bakgrunnssjekker og CV-er.

Når en ansatt bruker nøkkelkortet i døra eller kjører med en av firmaets biler kan det lagres informasjon om hvor den ansatte har vært på et bestemt tidspunkt. I personalmappen til den enkelte ligger det alt fra referater fra medarbeidersamtaler til advarsler og klager på arbeidstakeren.

Alle opplysninger som kan knyttes til enkeltpersoner må behandles i tråd med personopplysningsloven, enten de lagres digitalt eller i et gammeldags arkivskap med fysiske mapper.

Må ha uttrykkelig formål

Enhver behandling av disse opplysningene, enten det er innsamling, registrering, sammenstilling, lagring, utlevering, gjenbruk eller en kombinasjon av disse, må ha et bestemt formål.

- Utgangspunktet i personopplysningsloven er all behandling av personopplysninger må ha et uttrykkelig og bestemt formål. Man kan ikke hente inn og lagre personopplysninger i tilfelle de skulle komme til nytte en gang. Opplysningene kan bare brukes til det angitte formålet, sa Bergeius Andersen fra scenen under konferansen i Oslo.

Samtidig stiller loven krav om at behandlingen skal være egnet. Det handler om å velge det alternativet som oppnår formålet best, og som samtidig er minst inngripende overfor enkeltpersonen opplysningene omhandler.

Krav til behandlingsgrunnlag

For å kunne hente inn og behandle personopplysninger må arbeidsgiver ha et rettslig grunnlag. Det rettslige grunnlaget kan være en lov- eller forskriftshjemmel, et samtykke fra personen opplysningene omhandler eller en nødvendighetsgrunn.

- En nødvendighetsgrunn handler om at ditt behov som arbeidsgiver for å gå inn og hente ut opplysninger veier tyngre enn det inngrepet i personvernet er for denne arbeidstakeren. Hver må ulike hensyn veies opp mot hverandre i hver enkelt sak, sier Bergeius Andersen.

Hun understreker at samtykke i et ansettelsesforhold kan være komplisert, fordi partene i et arbeidsforhold ikke er å se på som likeverdige.

Rett til innsyn, retting og sletting

Arbeidstakere kan som hovedregel kreve å få innsyn i hvilke opplysninger arbeidsgiver har lagret om seg selv.

- Utgangspunktet er at arbeidssøkere, tidligere og nåværende arbeidstakere har krav på innsyn i opplysninger arbeidsgiver har lagret om dem. Dette innsynet skal gis med en gang arbeidstakeren ber om det, med noen få begrensede unntak. Dersom det er noe feil i opplysningene, har arbeidstakeren krav på å få rettet dette opp.

Arbeidstakeren kan også kreve at opplysninger som er sterkt belastende eller ikke lenger nødvendige blir slettet.

Lag dokumentasjon

Som regel er det ingen fast grense for hvilke personopplysninger som kan lagres og hvor lenge de kan oppbevares. Kari Bergeius Andersen sier det derfor er viktig for arbeidsgivere å dokumentere hvilke vurderinger som er gjort i forbindelse med behandling av personopplysninger.

- Det beste advokatrådet vi kan gi er å vise hvilke vurderinger du har gjort. Sett igjen spor som viser at du faktisk har gjort vurderinger av personvern, og hvilke behov virksomheten har for behandling av disse opplysningene. Dette er dokumentasjon som vil være viktig å kunne forelegge tilsynsmyndigheter og rettsapparatet i de situasjonene det blir nødvendig, sier Bergeius Andersen.