Kommunikasjon
Behandling av personopplysninger i forbindelse med HR-arbeid
Bedrifter utfører vanligvis behandling av personopplysninger i sammenheng med HR-arbeid. Fra rekruttering, under rekruttering til oppsigelse av arbeidsforhold.
Eksempel på behandling av personopplysninger i sammenheng med HR-arbeid
De fleste virksomheter må behandle personopplysninger i sitt HR-arbeid. For eksempel navn, kontaktinformasjon, bankkontodetaljer og lignende til de ansatte. I tillegg kan det være andre regler enn GDPR som krever at arbeidsgivere beholder visse personopplysninger om sine ansatte. For eksempel ved rapportering av trygde- og pensjonspremier.
Juridiske grunnlag som kan være egnet for bruk i sammenheng med HR-arbeid
Kontrakter med registrerte personer
Mange personopplysninger som arbeidsgiveren behandler om sine ansatte, støttes av det juridiske grunnlaget for kontrakter med registrerte.
Berettiget interesse
I noen tilfeller kan arbeidsgiver ha en berettiget interesse av å behandle noen av de ansattes personopplysninger i forbindelse med HR-arbeid. Husk at arbeidsgiveren i slike tilfeller må veie opp interessene som er involvert, for å se om arbeidsgiverens interesser oppveier arbeidstakerens.
Juridisk forpliktelse
Juridisk forpliktelse betyr at det er regulert av en annen lov eller forskrift at arbeidsgiveren må behandle visse personopplysninger om de ansatte. For eksempel opplysninger om sykefravær, for regnskapsføring av arbeidsgiveravgift eller lignende.
Vær oppmerksom på at samtykke ofte er et upassende rettslig grunnlag for arbeidsgivere å bruke, da det er et ulikt maktforhold mellom arbeidsgiver og arbeidstaker. Dette gjelder også rekruttering, der maktforholdet er ulikt mellom arbeidsgiver og arbeidssøker.
Kan arbeidsgiver behandle sensitive personopplysninger i sitt HR-arbeid?
Den generelle regelen forbyr behandling av sensitive personopplysninger under GDPR, men det finnes unntak. Arbeidsgivere behandler vanligvis sensitive personopplysninger om sine ansatte, og dette kan være tillatt i visse tilfeller. Det er imidlertid viktig å huske på at reglene er strengere. For eksempel må arbeidsgiver iverksette tilstrekkelige tekniske og organisatoriske sikkerhetstiltak for å beskytte personopplysninger, og kravene er høyere for behandling av sensitive personopplysninger.
Arbeidsgiveren behandler vanligvis opplysninger om helse
En arbeidsgiver må vanligvis behandle opplysninger om helse, for eksempel sykefravær, mulige allergier eller andre opplysninger om helse som kanskje må behandles. Vær oppmerksom på at arbeidsgiver for eksempel ikke skal sende lønnsslipper som inneholder opplysninger om sykefravær eller andre sensitive personopplysninger via ukryptert e-post, da dette ikke anses som tilstrekkelig sikkert.
Kan arbeidsgiver overlate behandlingen til en databehandler?
Ja, det er ingen regler som forbyr en arbeidsgiver å ansette et annet selskap for å utføre deler av eller hele HR-arbeidet. For eksempel, hvis et selskap engasjerer et regnskapsbyrå for å administrere lønnen til sine ansatte. I slike tilfeller er regnskapsbyrået databehandler for behandlingen. Vær imidlertid oppmerksom på at det ikke er mulig å overføre den faktiske kontrollen av behandlingen, men bare den praktiske gjennomføringen av behandlingen.
Arbeidsgivere som behandler subjektive personvernsensitive data, for eksempel i sitt arbeid med kompetanseutvikling
Det er viktig å huske på at merknader knyttet til ansattes ferdigheter kan være subjektive personvernsensitive data. Derfor må disse personopplysningene behandles med begrensning og tilstrekkelig sikkerhet, da lekkasje via et brudd på personopplysninger kan ha stor innvirkning på ansatte. Vær oppmerksom på at det skal være klart når disse personopplysningene slettes.
Ferdighetsutvikling inkludert profilering og automatiserte beslutninger
GDPR regulerer hvordan selskaper kan jobbe med profilering og automatiserte beslutninger. Det er ikke alltid lett å overholde GDPR når du bruker systemer som gir kompetanseutviklingstjenester og inkluderer profilering og automatiserte beslutninger. Verktøyene må for eksempel gjøre det mulig for den behandlingsansvarlige å overholde kravene til den registrertes rettigheter, for eksempel retten til informasjon, retting osv.
Hvordan selskaper bør gå steg for steg i sitt HR-arbeid i tråd med GDPR
Formål
Virksomheter skal alltid ha ett formål for hver enkelt behandling. Med andre ord, formålet med behandlingen. For eksempel behandling av visse personopplysninger for å kunne betale lønn.
Rettslig grunnlag
Når foretaket kjenner formålet med behandlingen, kan det velge et passende rettslig grunnlag. Vær oppmerksom på at samtykke vanligvis er et upassende rettslig grunnlag i HR-arbeid, da maktforholdet mellom arbeidsgiver og arbeidstaker ikke er likt.
Overlevering til tredjepart
Hvis selskapet vil overføre personopplysningene til en tredjepart, skal de registrerte informeres. Et eksempel på en overføring til en tredjepart er hvor selskapet engasjerer et regnskapsbyrå for å administrere lønn.
Tynning
Bedrifter skal slette personopplysningene når de ikke lenger er nødvendige for formålet med behandlingen. Dette gjelder også personopplysninger som behandles som en del av HR-arbeidet.
Utarbeide skriftlige instrukser for medarbeiderne
Det er de ansatte i selskapet som i praksis jobber med spørsmål knyttet til GDPR. For eksempel når en leder mottar en jobbforespørsel fra en person. I slike tilfeller er det en behandling av personopplysninger, i så fall må lederen vite hvordan man skal fortsette riktig. Det er derfor nyttig å utarbeide skriftlige instrukser om hvordan medarbeiderne skal opptre ved behandling av personopplysninger i sitt daglige arbeid.
Oppbevart personopplysninger om ansatte lenge etter at arbeidsforholdet er avsluttet
Et selskap i Finland/Sverige (Viking Line) måtte betale en bot etter at de blant annet hadde fortsatt å lagre personopplysninger i lang tid etter at ansettelsen var avsluttet. I tillegg omfatter det behandling av sensitive personopplysninger.
Behandling av personopplysninger i forbindelse med rekruttering
Bedrifter trenger vanligvis å behandle personopplysninger når de rekrutterer ansatte, for eksempel kontaktinformasjon. Dette gjelder også for personer som ikke nødvendigvis er sysselsatt. Dette utgjør en behandling av personopplysninger, og derfor må GDPR tas i betraktning i prosessen.
Ulike hensyn ved behandling av personopplysninger ved rekruttering av personale
Her er noen viktige punkter å huske på når selskaper behandler personopplysninger når de rekrutterer ansatte:
Rett til innsyn
Datasubjekter har rett til tilgang til informasjon i henhold til GDPR. Med andre ord, retten til å vite hvilke personopplysninger om den registrerte som behandles av selskapet, hvor lenge behandlingen varer, hvilke rettigheter den registrerte har, etc. Retten til innsyn gjelder også for rekruttering. Hvis et selskap har opprettet en side på nettstedet der søkere kan legge inn sine kontaktopplysninger og legge ved sin CV, bør de informere om behandlingen i sammenheng med innsamlingen av dataene. Dette gjøres vanligvis i en personvernerklæring som søkeren kan lese før informasjonen sendes inn.
Automatiserte avgjørelser om rekruttering
Det kan være utillatelig for et selskap å bruke automatiserte beslutninger ved rekruttering. For eksempel, hvis rekrutteringstester involverer profilering, er det flere forhold som skal vurderes, for eksempel at samtykke ikke er et passende juridisk grunnlag.
Kriminelle rulleblad
Opplysninger om lovbrudd utgjør en særskilt kategori av personopplysninger i henhold til artikkel 10 i GDPR, som blant annet innebærer at de må behandles med større sikkerhet enn «vanlige personopplysninger». I noen yrker er det et krav at arbeidsgiveren ber om opplysninger om dette, og da er det rettslige grunnlaget for behandlingen en rettslig forpliktelse. For eksempel for politifolk og skoleansatte. På den annen side er det selskaper som ber om et utdrag fra strafferegisteret selv om det ikke er lovkrav, og i slike tilfeller er reglene strenge.
Inngå en databehandleravtale dersom rekrutteringen utføres av et annet selskap
Det er ikke uvanlig at selskaper ansetter andre selskaper for å administrere rekruttering av ansatte. Det er viktig å huske på at rekrutteringsselskapet i slike tilfeller er en databehandler, og at det må inngås en skriftlig databehandleravtale mellom partene, i samsvar med artikkel 28 i GDPR.
Ikke tillatt med ”svartelister”
Det er ikke tillatt å opprette et register over uønskede personer, såkalte svartelister. I noen tilfeller kan ledere lage slike lister for å prøve å gjøre rekrutteringsarbeidet mer effektivt, men dette er forbudt.
Behandling av personopplysninger under ansettelse
Det er vanligvis et bredt spekter av behandling av ansattes personopplysninger i ansettelsesperioden.
Informere om behandling av personopplysninger i arbeidsavtaler
I ansettelseskontrakter er det nyttig å vise til en egen personvernerklæring spesielt utarbeidet for ansatte, som beskriver behandlingsoperasjonene til den ansattes personopplysninger.
Juridisk grunnlag som kan være hensiktsmessig for behandling under ansettelse
Here are three legal bases that may be appropriate for companies to support the processing of personal data, when it concerns employees within the employment period.
Kontrakt med den registrerte
Arbeidsavtalen kan gi et rettslig grunnlag for de behandlingsaktivitetene som er nødvendige for at personen skal kunne utføre sine oppgaver. For eksempel behandling av fornavn og etternavn for å kunne opprette en arbeidsrelatert e-postadresse for den ansatte. Vær imidlertid oppmerksom på at det kan være vanskelig å bruke en arbeidsavtale som rettslig grunnlag dersom formålet med behandlingen er uklart.
Berettiget interesse
En arbeidsgiver kan ha en legitim interesse i å behandle visse personopplysninger om ansatte. På den annen side må virksomheten først foreta en konsekvensutredning for å sannsynliggjøre dette. Et eksempel på når det kan være hensiktsmessig, er dersom et meglerforetak publiserer et bilde av et salgsobjekt og et profilbilde av megleren på selskapets sosiale medier.
Juridisk forpliktelse
Flere lover regulerer behandling av personopplysninger om ansatte. Bedrifter må for eksempel behandle personopplysninger om ansattes sykefravær, melde fra om yrkesskader og lignende. Når behandlingen utføres for å overholde bestemmelsene i en annen lov, er det juridiske grunnlaget en juridisk forpliktelse.
Vær oppmerksom på at samtykke vanligvis er et upassende rettslig grunnlag å bruke, da det er et ulikt maktforhold mellom arbeidsgiver og arbeidstaker.
Fortsette å behandle personopplysninger etter ansettelse
Det kan være mulig for et selskap å behandle personopplysninger selv etter en jobb. For eksempel, for at arbeidsgiveren skal være en fremtidig referanse til personen.
Framtidig referanse – samtykke kan være hensiktsmessig
Som nevnt ovenfor er samtykke ikke hensiktsmessig der maktforholdet mellom partene er ulikt. Hvis en person slutter å jobbe i et foretak, er han eller hun ikke lenger ansatt. Det kan være i den registrertes interesse at visse opplysninger fortsatt behandles av den tidligere arbeidsgiveren. For eksempel informasjon om prestasjoner, utviklingssamtaler eller lignende som kan tjene som grunnlag for en fremtidig referanse. På den annen side er det ikke nødvendig for foretaket å fortsette behandlingen av disse opplysningene dersom den tidligere arbeidstakeren ikke ønsker det. Derfor kan det være nyttig å innhente samtykke når personen slutter at selskapet kan fortsette å behandle dem og informere personen om at de kan be om sletting i fremtiden.
Det kan være andre lover som krever ytterligere vurdering
Det kan være andre lover enn GDPR som krever at selskaper behandler personopplysninger i en viss periode, selv etter at et ansettelsesforhold er avsluttet, for eksempel å måtte beholde lønnsslipper i henhold til skatte- eller regnskapsloven. Hvis ytterligere behandling er lovpålagt, er det rettslige grunnlaget for videre behandling en rettslig forpliktelse. Vær oppmerksom på at i slike tilfeller bør personopplysningene lagres på et sted som er atskilt fra andre personopplysninger som brukes i det daglige arbeidet. For eksempel i arkiverte og passordbeskyttede digitale mapper som er lagret på et eget lagringsområde.
Mer om GDPR
Regler for behandling av personopplysninger i sosiale medier
Mange selskaper behandler personopplysninger på sosiale medier og mener at de ikke har noe ansvar for å behandle dem, da det ikke er deres plattform. Dette er imidlertid ikke alltid tilfelle. I noen tilfeller kan et selskap ha felles kontroll med selskapet som driver den sosiale medieplattformen. Dette gjelder for eksempel hvis en kunde kontakter selskapet via sosiale medier for å få en rettighet. Selv om selskapet kan ha informert om at slik informasjon skal mottas via e-post i sin personvernerklæring, er det fortsatt en behandlingsoperasjon når de mottar en melding via sosiale medier. Husk for eksempel at bedriftens skuff for sosiale medier er lukket, det samme gjelder e-post og andre kommunikasjonsmidler.