Arbeidsliv – GDPR
Rekrutteringssystemer og kompetansedatabaser
Det er vanlig for arbeidsgivere å behandle personopplysninger ved rekruttering av ansatte. Det samme gjelder bruk av kompetansedatabaser.
Bruk av rekrutteringssystemer og kompetansedatabaser
Det er viktig å huske på at det ikke behandles flere personopplysninger enn det som er nødvendig for formålet. I tillegg er det viktig å slette eller anonymisere personopplysningene når de ikke lenger er nødvendige å behandle for det formålet de ble samlet inn for.
I noen tilfeller kan det også være hensiktsmessig å gjennomføre en vurdering av personvernkonsekvenser før den planlagte behandlingen utføres.
Unngår samtykke
Samtykke (artikkel 6 (1) (a) GDPR) er ikke alltid et passende eller tillatt rettslig grunnlag for å støtte en behandlingsoperasjon. Dette gjelder blant annet når maktforholdet mellom den registrerte og den behandlingsansvarlige ikke er det samme. For eksempel mellom en arbeidsgiver og arbeidstaker, eller mellom en offentlig myndighet og borgere. På den annen side kan det være tillatt og hensiktsmessig i visse tilfeller, for eksempel hvor den ansatte ønsker å utføre en personlighetstest.
Rettslig grunnlag for behandling av personopplysninger i forbindelse med rekruttering
Det rettslige grunnlaget som arbeidsgiveren kan bruke for behandling av personopplysninger i forbindelse med rekruttering, er forskjellig, avhengig av om arbeidsgiveren er et privat selskap eller en offentlig myndighet.
Berettiget interesse
Det er vanlig å bruke det juridiske grunnlaget for legitim interesse (artikkel 6 (1) (f) GDPR) når en arbeidsgiver rekrutterer ansatte, hvis det er et privat selskap. Berettiget interesse betyr at selskapet har avveid interessene og konkludert med at deres interesse i å utføre behandlingen går foran interessene og rettighetene til den registrerte.
Alminnelig interesse
Hvis arbeidsgiveren er en offentlig myndighet, bruker de vanligvis det rettslige grunnlaget for offentlig myndighet og oppgave i allmennhetens interesse (artikkel 6 (1) (e) GDPR). Offentlige myndigheter kan ikke bruke legitim interesse som rettslig grunnlag i utøvelsen av sin offentlige myndighet.
Informere de registrerte om behandlingen av deres personopplysninger
En arbeidsgiver skal informere de registrerte om behandlingen av deres personopplysninger. I dette tilfellet skal arbeidsgiverens ansatte anses som en kategori av registrerte i henhold til GDPR.
For eksempel har ansatte rett til å vite hvorfor arbeidsgiveren behandler personopplysningene sine og på hvilket rettslig grunnlag arbeidsgiveren støtter behandlingen. I tillegg må de informeres om sine rettigheter i henhold til GDPR.
Når skal arbeidsgiver informere ansatte om behandlingen?
En arbeidsgiver skal informere de registrerte om behandlingen av deres personopplysninger. I dette tilfellet skal de ansatte som ansatte hos arbeidsgiveren anses som en kategori av registrerte i henhold til GDPR.
For eksempel har ansatte rett til å vite hvorfor arbeidsgiveren behandler personopplysningene og på hvilket rettslig grunnlag arbeidsgiveren støtter behandlingen. I tillegg må de informeres om sine rettigheter i henhold til GDPR.
Artikkel 13 GDPR
I noen tilfeller kan arbeidsgiveren ha direkte tilgang til den ansattes personopplysninger. I så fall gjelder artikkel 13 i GDPR. I slike tilfeller skal arbeidsgiver informere arbeidstakerne senest når personopplysningene samles inn.
Artikkel 14 GDPR
Dette tidspunktet er forskjellig fra tidspunktet da arbeidsgiveren samler inn personopplysningene fra en annen kilde. I slike tilfeller gjelder artikkel 14 i GDPR. I så fall skal ansatte informeres om behandlingen innen rimelig tid, men ikke senere enn en måned etter behandlingen. Dersom personopplysningene skal brukes til kommunikasjon med den registrerte, skal opplysningene imidlertid gis senest på tidspunktet for den første kommunikasjonen med den registrerte. Dersom arbeidsgiveren har til hensikt å gi opplysninger til en annen mottaker, skal opplysningene om behandlingen gis senest når personopplysningene først utleveres.
Bruk av rekrutteringssystemer ved rekruttering av nye medarbeidere til operasjoner
Det er vanlig for arbeidsgivere å bruke et rekrutteringssystem når de rekrutterer nye medarbeidere til sine aktiviteter. Dette gjelder både intern og ekstern rekruttering. Vær oppmerksom på at det ikke er tillatt å behandle flere personopplysninger enn det som er nødvendig for formålet med behandlingen. Det er med andre ord ikke tillatt å behandle flere personopplysninger enn nødvendig for å vurdere om en person er egnet for tjenesten eller ikke.
Bedrifter bør derfor være oppmerksomme på ikke å ha overdreven behandling for den spesifikke tjenesten. Arbeidsgiveren bør for eksempel unngå å behandle personsensitive opplysninger. Eksempler på personvernsensitiv informasjon er data om lovbrudd. I tillegg skal selskapet ikke behandle sensitive personopplysninger under GDPR ved rekruttering, men det finnes unntak. For eksempel kan det være aktuelt for en matproduksjonsfabrikk å vite om ansatte har noen relevante allergier. Allergiinformasjon er sensitive personopplysninger i henhold til artikkel 9 i GDPR, da det utgjør informasjon om en persons helse.
Når et innlegg innebærer et høyt ansvarsnivå, for eksempel økonomisk ansvar eller sikkerhetsansvar, kan det være mer hensiktsmessig å be om mer omfattende informasjon om potensielle arbeidstakere enn om personen jobber i kundeservice med enklere administrative oppgaver.
Tidsfrist for behandling av personopplysninger i forbindelse med rekruttering
I henhold til den generelle regelen i GDPR må selskaper slette personopplysninger når de ikke lenger er nødvendige for formålet de ble samlet inn for. På den annen side kan det hende at selskapet må beholde visse data lenger, hvis det er nødvendig for å overholde en annen gjeldende lov. For eksempel må bedrifter vanligvis beholde fakturaer og kvitteringer i et visst antall år i henhold til nasjonal regnskapslovgivning.
Når en arbeidsgiver må rekruttere en person, behandler de vanligvis personopplysninger som navn, intervjunotater, mulige referanser, etc. Personopplysninger skal slettes når det ikke lenger er nødvendig for søknadsprosedyren. På den annen side kan selskapet beholde personopplysninger så lenge den ansatte kan ta rettslige skritt mot selskapet. For eksempel, om personen kan klage på et avslag på et innlegg.
Vær oppmerksom på at selskaper kan velge å anonymisere personopplysningene i stedet for å slette dem.
Fortsett å lagre personopplysninger i en kandidatpool for fremtidig rekruttering
En arbeidsgiver kan ha nytte av å oppbevare arbeidssøkernes personopplysninger i en gruppe kandidater for framtidig rekruttering. På den annen side er det ikke tillatt å stole på en legitim interesse på grunnlag av det juridiske grunnlaget. I slike tilfeller må arbeidsgiver i stedet innhente gyldig samtykke fra arbeidssøkeren.
Behandle personopplysninger i kompetansedatabaser som arbeidsgivere
Et selskap kan ha en berettiget interesse av å behandle personopplysninger i kompetansedatabaser for interne rekrutteringsformål. For eksempel hvilken opplæring den ansatte har foretatt eller hvilke erfaringer de har fra tidligere arbeidsliv. I tillegg kan foretaket ha behov for å ta opp resultatene av ulike personlighetstester eller lignende som den ansatte har tatt. Vær oppmerksom på at slike personopplysninger er personvernsensitive og derfor underlagt strengere regler under GDPR.
Konsekvensanalyse av rekruttering
Bedrifter som er behandlingsansvarlige, må kanskje utføre en konsekvensanalyse før de starter en behandling av personopplysninger. Her er to eksempler på når en arbeidsgiver må gjennomføre en konsekvensutredning:
Bakgrunnskontroller
Om en arbeidsgiver har til hensikt å utføre bakgrunnskontroller på ansatte eller potensielle ansatte før rekruttering.
Kompetansedatabaser
Hvis et rekrutteringsbyrå oppretter en kompetanse- eller kandidatdatabase.
Mer informasjon om GDPR i arbeidslivet
Arbeidsgivers bruk av biometriske data
Biometriske data utgjør sensitive personopplysninger. Som et resultat er behandling av slike data forbudt etter den generelle regelen fastsatt i artikkel 9 i GDPR, men det finnes unntak. Eksempler på biometriske data inkluderer ansiktsgjenkjenning og når du leser et fingeravtrykk. For eksempel kan en arbeidsgiver ha en sterk grunn til å bruke ansiktsgjenkjenning av sikkerhetsmessige årsaker, og dette kan være tillatt i slike tilfeller. Vær oppmerksom på at en arbeidsgiver ikke bør bruke samtykke som rettslig grunnlag for behandling av biometriske data, da det er et ulikt maktforhold mellom arbeidsgiver og arbeidstaker.