GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

GDPR i arbeidslivet

Behandling av personopplysninger på arbeidsplassen

Behandling av personopplysninger i arbeidslivet er svært vanlig. Her finner du en oversikt over hva som gjelder for selskaper i slike tilfeller. Informasjonen er i hovedsak rettet mot private selskaper, og ikke til aktører som er aktive i offentlig sektor. 

Hvilke personopplysninger blir ofte behandlet i arbeidslivet?

Eksempler på vanlige kategorier av personopplysninger som ofte behandles i arbeidslivet er: 

  • Kontaktinformasjon. 
  • Lønnsregistre. 
  • Adresselister. 
  • Medisinsk fravær.

Behandling av sensitive personopplysninger i arbeidslivet

Under GDPR er behandling av sensitive personopplysninger forbudt av den generelle regelen, men det er noen unntak. Eksempler på sensitive personopplysninger er opplysninger om helse, religiøs tro og fagforeningsmedlemskap. 

What breaches of the GDPR can lead to an administrative fine?

Arbeidsgivere kan også behandle personvernsensitive personopplysninger på arbeidsplassen

I tillegg er det andre personopplysninger som fortjener ekstra beskyttelse, kjent som personvernsensitive personopplysninger. For eksempel data om sosiale forhold og kortdetaljer. Jo viktigere personopplysningene er, desto høyere er kravene til blant annet sikkerhet. 

Hvordan kan opplysninger om sykefravær som er sensitive personopplysninger under GDPR behandles av arbeidsgiver?

I arbeidslivet er det vanlig at arbeidsgivere behandler opplysninger om ansattes sykefravær, som er helseopplysninger og derfor utgjør sensitive personopplysninger i henhold til artikkel 9 i GDPR. 

Rettslig grunnlag for behandlingen

Det rettslige grunnlaget som arbeidsgiveren ofte bruker for behandling av slike sensitive personopplysninger, er en rettslig forpliktelse i henhold til artikkel 6 nr. 1 bokstav c i GDPR. Dette skyldes at behandlingen er nødvendig for at arbeidsgiveren skal kunne oppfylle sine juridiske forpliktelser i henhold til gjeldende arbeidsrett. For eksempel, for å beregne og betale riktig sykelønn, rapportere til trygd i henhold til gjeldende lov, etc. Det rettslige grunnlaget for slik type behandling er dermed først og fremst arbeidsgiverens juridiske forpliktelser i henhold til gjeldende lov, og ikke kontrakten (arbeidskontrakten) med den registrerte, selv om utbetaling av lønn er en del av arbeidsgiverens forpliktelser i henhold til arbeidskontrakten. 

Unntak fra behandling av sensitive personopplysninger

I tillegg gir artikkel 9 (2) (b) i GDPR et spesifikt unntak for arbeidsgivere som tillater behandling av sensitive personopplysninger. I tilfeller der behandlingen må utføres av arbeidsgiveren for at arbeidsgiveren skal kunne oppfylle sine arbeidsrettslige forpliktelser.

Vær oppmerksom på at det for eksempel er viktig at arbeidsgiver ikke sender lønnsslipp med sykefravær via ukryptert e-post eller annen metode som ikke er tilstrekkelig sikker.

Hva er arbeidsgivers ansvar i forbindelse med behandling av personopplysninger?

En arbeidsgiver som behandler personopplysningene til sine ansatte, og bestemmer hvordan og hvorfor de skal behandles, er behandlingsansvarlig. 

For eksempel, hvis et selskap driver et regnskapsbyrå, kan regnskapsbyrået behandle personopplysninger enten som behandlingsansvarlig eller prosessor. Den behandler personopplysninger som databehandler, der personopplysningene tilhører kundens ansatte og behandlingen utføres på vegne av kunden.

Vær oppmerksom på at det ikke er lederen av selskapet eller eieren som personlig er en kontroller eller prosessor. I stedet er det selskapet som kan spille en slik rolle under GDPR. På den annen side kan det være situasjoner der en person spiller rollen, for eksempel hvor arbeidsgiveren driver en eneste næringsdrivende og hans personlige identifikasjonsnummer er det samme som selskapets registreringsnummer.

Trenger alle arbeidsgivere å utnevne en databeskyttelsesansvarlig i henhold til GDPR?

Nei, ikke alle arbeidsgivere trenger å utnevne en databeskyttelsesansvarlig i henhold til GDPR. Det er det kun enkelte arbeidsgivere som trenger å gjøre. GDPR inneholder klare krav til hvilke organisasjoner som må utnevne en databeskyttelsesansvarlig. På den annen side kan en arbeidsgiver som ikke er forpliktet til å utnevne en databeskyttelsesansvarlig, velge å gjøre det frivillig. Alle personvernombud skal registreres og meddeles tilsynsmyndigheten, herunder deres kontaktopplysninger.

Når arbeidsgiveren har utnevnt en databeskyttelsesansvarlig, skal ansatte ha rett til å kontakte databeskyttelsesansvarlig ved eventuelle spørsmål om behandling av deres personopplysninger. Det samme gjelder for de andre registrerte.

DPO har ikke noe personlig ansvar for organisasjonens overholdelse av GDPR, som er organisasjonens ansvar.

Myndighetene må alltid utnevne en databeskyttelsesansvarlig, men ikke alle private selskaper. Personvernombudet skal blant annet konsulteres når selskapet har til hensikt å gjennomføre en konsekvensutredning.

Rekrutteringssystemer og kompetansedatabaser

Det er vanlig for bedrifter å behandle personopplysninger når de rekrutterer nye medarbeidere til sin virksomhet. Det samme gjelder bruk av kompetansedatabaser til dette formålet. Det er viktig å ha et rettslig grunnlag for slik behandling av personopplysninger. Det juridiske grunnlaget for legitim interesse i henhold til artikkel 6 (1) (f) GDPR kan være et passende rettslig grunnlag å bruke i slike tilfeller. Samtykke er normalt ikke egnet til bruk, da det er et ulikt maktforhold mellom arbeidsgiver og arbeidstaker. 

I tillegg kan det i enkelte tilfeller være nødvendig å foreta en konsekvensutredning før arbeidsgiveren begynner å behandle personopplysningene. For eksempel, hvis et vikarbyrå utfører bakgrunnskontroller når du rekrutterer en ny person.

Forskjellige typer overvåking

For eksempel, hvis en arbeidsgiver ønsker å implementere kameraovervåking på arbeidsplassen eller annen overvåking og behandler personopplysninger i forbindelse med dette, må selskapet overholde GDPR. På den annen side er det arbeidsretten som først og fremst regulerer en arbeidsgivers rett til å overvåke og føre tilsyn med sine ansatte. 

What is the definition of anonymised data?
Kameraovervåking

Kameraovervåking er en inntrenging i personvernet og på arbeidsplasser ansatte har en sterk interesse generelt i ikke å være gjenstand for slik overvåking. På den annen side er det situasjoner der arbeidsgiveren kan ha en sterkere interesse. For eksempel, når det gjelder kameraovervåking i et lager hvor luksusvarer er til stede. I noen tilfeller kan det være hensiktsmessig å bare ha kameraene i en lokal slått på om natten når ingen ansatte er der, hvis målet er å forhindre eller gjøre det lettere å fjerne innbrudd.

Subjektivt integritetskänsliga personuppgifter
Posisjoneringsteknologi

Noen typer selskaper må kanskje ha posisjoneringsteknologi på arbeidsbiler som brukes av ansatte i løpet av sine oppgaver. Det er viktig å ikke bruke informasjonen til å sjekke for eksempel hvor lenge ansatte tar pauser. Informasjonen kan heller ikke brukes til å spore ansatte mens de ikke jobber, hvis de har lov til å bruke firmabilen i fritiden.

Behandling av biometriske data på arbeidsplassen

Eksempler på biometriske data er fingeravtrykk eller ansiktsgjenkjenning. Biometriske data er sensitive personopplysninger i henhold til artikkel 9 i GDPR. Det er informasjon som gjør det mulig å identifisere et individ, som det gjelder en persons fysiologiske, atferdsmessige eller fysiske egenskaper. Det er derfor viktig å huske på at reglene er strengere ved behandling av slike sensitive personopplysninger. Bedrifter som behandler biometriske data i arbeidslivet, må iverksette egnede sikkerhetstiltak for å beskytte personopplysninger. 

Bedrifter kan få lov til å behandle biometriske data som arbeidsgivere, men ikke hvis det er mulig å oppnå samme formål på en mindre personvernsensitiv måte. For eksempel bør den ikke brukes til oppmøtekontroller, da det ofte ikke er tillatt. I Sverige måtte en skole betale en bot etter å ha brukt ansiktsgjenkjenning når de sjekket elevenes oppmøte. For å kunne bruke biometriske data, må selskapet ha en sterk grunn. I tillegg kan det være nødvendig å gjennomføre en konsekvensanalyse før behandlingen starter.

Mer informasjon om GDPR

Skape en god struktur

Jo større selskapet er, desto viktigere er det med en klar struktur i databeskyttelsesarbeidet, fra toppledelsen helt ned i hierarkiet til alle andre ansatte. For eksempel kan det i større selskaper være nyttig å utnevne databeskyttelsesambassadører, som får ytterligere opplæring i GDPR. Disse personene kan blant annet bidra til å spre relevant informasjon til andre ansatte og svare på spørsmål knyttet til GDPR. For eksempel, hvis et stort selskap har flere forskjellige avdelinger, er det bra at en person fra hver avdeling utnevnes som databeskyttelsesambassadør. Når ledelsen ønsker å dele ny informasjon i organisasjonen, kan databeskyttelsesambassadører få i oppgave å formidle den til hver enkelt person innenfor deres respektive avdeling. 

Lyst til å lære mer?

Les mer
Skroll til toppen