Arbeidsgiver behandler en rekke personopplysninger om ansatte, eksempelvis navn, adresse, sykemeldinger, bilder, permisjonssøknader og CV.
Personvernforordningen oppstiller en rekke plikter for deg som arbeidsgiver, og de ansatte har en rekke rettigheter for å verne deres personvern. Det er derfor viktig at du som leder tar personvern på alvor.
I denne artikkelen peker vi på noen forhold du som arbeidsgiver må ha på plass, for å sikre personvernet til dine ansatte.
Ha tilstrekkelig kunnskap
Et virkemiddel for å sikre at ledere overholder personvernet er at leder og ansatte har tilstrekkelig kunnskap om personvern.
Vi har oppdatert våre lederhåndbøker med personverninnhold, for hjelpe deg som leder til å overholde dine personvernforpliktelser.
Sticos har i tillegg flere personvernkurs. Vi har blant annet et spesialtilpasset kurs for deg som leder; Personvern for ledere og et personvernkurs for ansatte.
Vi har i tillegg flere kurs som går i dybden i de ulike pliktene etter personvernforordningen; Sletting av personopplysninger og Kartlegging av personopplysninger.
Ha oversikt over alle personopplysninger
For at du som arbeidsgiver skal kunne behandle personopplysninger om ansatte må det foreligge behandlingsgrunnlag og formål. Arbeidsgiver må knytte formål og behandlingsgrunnlag til hver enkelt personopplysning virksomheten behandler om ansatte.
Det er derfor viktig at du som arbeidsgiver har oversikt over alle ansattopplysninger virksomheten har, og hva som er formålet og behandlingsgrunnlagene for disse.
Typiske behandlingsgrunnlag for at arbeidsgiver skal kunne behandle ansattopplysninger, er at personopplysning er nødvendig for å oppfylle forpliktelser i arbeidsavtalen eller i arbeidsmiljøloven eller folketrygdloven. Eksempler på formål er lønnskjøring, behandling av permisjonssøknader, nødvendig for å identifisere ansatte og annen personalforvaltning.
Iverksett tiltak som sikrer informasjonssikkerheten
Som arbeidsgiver må du sørge for at personopplysninger til de ansatte er tilstrekkelig sikret mot at uvedkommende får tilgang til disse og at de kan bli uautorisert rettet eller slettet, og at du som arbeidsgiver har tilgang til ansattopplysningene når du trenger dem.
Eksempler på tiltak for å sikre personopplysninger er; bruk av sikkert passord, tilgangsstyring av systemer med personopplysninger og kryptering når personopplysninger sendes som e-post.
Dersom du ønsker nærmere kunnskap om hvordan sikre personopplysninger din virksomhet behandler, anbefaler vi vårt nettkurs Informasjonssikkerhet og personvern.
Lag gode rutiner
For å sikre at arbeidsgiver behandler personopplysninger i tråd med personvernregelverket, må virksomheten ha rutiner. Eksempler på rutiner arbeidsgiver bør ha er; årlig gjennomgang av personalmappe, sjekkliste når ansatte slutter, IT-sikkerhetsrutiner for ansatte og sjekkliste for innføring av kontrolltiltak.
Dersom du trenger mer bistand til personvernarbeidet i din virksomhet så anbefaler vi vår workshop Serious Game.
Ha et bevisst forhold til GDPRs sletteregler
Etter personvernforordningen skal personopplysningene blant annet slettes når de ikke lengre er nødvendig for det opprinnelige formål de ble innhentet for.
Dette innebærer at lagringstiden er ulike for forskjellig typer personopplysninger arbeidsgiver har fått som følge av arbeidsforhold og rekruttering:
Personopplysninger om nåværende ansatte
For mange av de ansattes personopplysninger er arbeidsavtalen behandlingsgrunnlaget for arbeidsgivers bruk og lagring av disse opplysningene. Der arbeidsavtalen er grunnlaget for behandlingen, er utgangspunktet at arbeidsgiver kan lagre personopplysninger om den ansatte så lenge ansettelsesforholdet varer. Som hovedregel vil arbeidsgiver også kunne lagre personopplysninger i hele ansettelsesperioden, dersom grunnlaget er arbeidsmiljøloven eller folketrygdloven.
Arbeidsgiver må imidlertid alltid gjøre en konkret vurdering av hvor lenge personopplysningene om nåværende ansatte kan beholdes. Eksempelvis for advarsler som er gitt lang tid tilbake.
Regnskapsrelatert informasjon som lønnslipper og reiseregninger lagres i henhold til bokføringslovens regler.
Personopplysninger om tidligere ansatte
For personopplysninger som arbeidsgiver bruker til personaladministrasjon, vil som hovedregel arbeidsforholdets opphør markere yttergrensen for akseptabel lagringstid. Personopplysninger om ansatte som har sluttet, skal som hovedregel slettes.
Det er imidlertid en rekke praktiske unntak fra dette, eksempelvis som følge av særregler som pålegger arbeidsgiver lengre lagringstid. Eksempelvis arkivloven for offentlige arbeidsgivere og bokføringsloven.
I tillegg kan videre oppbevaring være nødvendig, eksempelvis for å forsvare eller gjøre gjeldende et rettskrav i forbindelse med en oppsigelsessak om erstatning for usaklig oppsigelse, illojalitet, trakassering etc.
Arbeidsgiver vil ofte ha behov for å beholde opplysninger om eksempelvis hvem som var ansatt til enhver tid, på grunn av historiske eller administrative årsaker.
Personopplysninger fra rekrutteringsprosesser
Personopplysninger som er innhentet som ledd i en rekrutteringsprosess, skal slettes når kandidaten ikke er relevant lengre. Dersom arbeidsgiver ønsker å beholde kontaktdata til en kandidat som kan være aktuell for en jobb senere, må arbeidsgiver be om skriftlig samtykke fra vedkommende.
Få aktuelle nyheter innen personal, regnskap, økonomi og personvern. Følg Sticos på Facebook, LinkedIn og meld deg på vårt nyhetsbrev.