Arbeider livet
Arbeidsgiver har et ansvar i forbindelse med behandling av personopplysninger
Arbeidsgivere har et ansvar ved behandling av personopplysninger i henhold til GDPR (General Data Protection Regulation). Arbeidsgivere må blant annet sørge for at deres behandling av arbeidstakernes personopplysninger utføres korrekt. Faktisk må arbeidsgivere behandle personopplysningene til sine ansatte for å overholde sine forpliktelser i henhold til arbeidsretten.
Hvem er behandlingsansvarlig?
Arbeidsgiveren er behandlingsansvarlig for behandlingen av personopplysningene til sine ansatte. Det er altså ikke en leder eller et annet individ i selskapet som har rollen som «controller», men det er selskapet som organisasjon. På den annen side kan enkeltpersoner være kontrollører i visse tilfeller. For eksempel, hvis en person er engasjert i en individuell økonomisk aktivitet.
Er det vanlig for arbeidsgivere å behandle sensitive personopplysninger om sine ansatte?
Ja, det er vanlig for arbeidsgivere å behandle ulike kategorier av sensitive personopplysninger i arbeidslivet til sine ansatte. Eksempler på sensitive personopplysninger under GDPR artikkel 9 omfatter opplysninger om helse- og fagforeningsmedlemskap.
Hvilke typer sensitive personopplysninger behandler arbeidsgivere vanligvis?
Arbeidsgivere behandler vanligvis opplysninger om sine ansattes helse, for eksempel i forbindelse med arbeidsgiverens behandling av opplysninger om sykefravær. I tillegg er det vanlig å inkludere slik informasjon i lønnsslippen. Det er viktig informasjon som påvirker lønnsnivået.
Trygg og sikker arbeidsplass i henhold til loven
Videre er det viktig at arbeidsgivere sikrer en trygg og sikker arbeidsplass i samsvar med loven, som er hensiktsmessig og tilpasset de ansattes spesifikke behov. For eksempel kan en arbeidstaker informere sin arbeidsgiver om enhver funksjonshemming eller diagnose han eller hun måtte ha. Dette er eksempler på sensitive personopplysninger som arbeidsgiveren kan ha behov for å behandle i samsvar med GDPR, herunder eventuell annen gjeldende arbeidsrett.
Vær oppmerksom på at lagring og overføring av sensitive personopplysninger krever høyere sikkerhet enn behandling av andre kategorier av personopplysninger. Derfor bør arbeidsgiver for eksempel aldri sende en lønnsslipp ukryptert, hvis den inneholder data om helse, for eksempel sykefravær.
Hva er arbeidsgivers ansvar med hensyn til behandling av personopplysninger i henhold til GDPR?
Arbeidsgiver skal sørge for at behandlingen av arbeidstakernes personopplysninger skjer i samsvar med reglene i GDPR. Dette innebærer blant annet at arbeidsgiver har plikt til å informere ansatte om behandlingen av deres personopplysninger. Detaljene om informasjonen som skal oppgis, er angitt i artikkel 13 og artikkel 14 i GDPR. Informasjonen kan med fordel utarbeides skriftlig i en spesifikk personvernerklæring beregnet for ansatte. Dette trenger imidlertid ikke å publiseres på arbeidsgivers nettsted, men kan i stedet publiseres eller deles internt direkte med bare ansatte.
Når en arbeidsgiver behandler personopplysningene til sine ansatte, skal disse ansatte anses som registrerte i henhold til GDPR. De har derfor krav på ulike rettigheter som arbeidsgiveren er pålagt å respektere ved en anmodning. For eksempel retten til innsyn og retten til korrigering av personopplysninger som behandles av arbeidsgiveren.
I tillegg kan arbeidsgiver være ansvarlig for eventuelle skader forårsaket av behandlingen i henhold til artikkel 82 i GDPR, dersom behandlingen utføres i strid med bestemmelsene i GDPR.
Ansatte som arbeider hjemmefra
Uansett om ansatte jobber fra et fysisk kontor eller hjemmefra, må arbeidsgiveren følge reglene i GDPR. For eksempel å ha et tilstrekkelig sikkerhetsnivå, et klart formål med hver enkelt databehandling, ivareta rettighetene til de registrerte og slette personopplysninger når de ikke lenger er nødvendige for formålet de ble samlet inn for.
Arbeidsgiveren måtte betale en bot for videoovervåkning av ansatte på et uegnet sted
En arbeidsgiver fikk en bot på ISK 5 000 000 fra det islandske datatilsynet etter å ha hatt kameraovervåking på stedet der de ansatte byttet. Det vil si i personalets overføringsrom. I tillegg hadde selskapet mislyktes i sine forpliktelser til å informere ansatte tilsvarende. De ansatte hadde heller ikke noe annet sted å slå på som det ikke var kameradekning på. Det islandske datatilsynet har beordret selskapet til å stanse kameraovervåkingen. I tillegg ble de beordret til å slette alle innspilte filmer.
Arbeidsgivere kan overlate utførelsen av behandlingen, men ikke ansvaret for behandlingen
I henhold til GDPR kan behandlingsansvarlige aldri overføre det faktiske ansvaret for behandlingen. På den annen side er det mulig å overlate gjennomføringen av selve behandlingen til en annen person. I slike tilfeller er selskapet som behandler personopplysninger på vegne av det andre selskapet, en databehandler.
For eksempel kan en arbeidsgiver bruke tjenestene til et regnskapsbyrå for å administrere alle aspekter av administrasjon og betaling av lønn i selskapet. I så fall er det arbeidsgiveren som er behandlingsansvarlig, og regnskapskontoret behandler personopplysningene til arbeidsgiverens ansatte som arbeidsgiverens innleide databehandler.
Vær oppmerksom på at behandlingsansvarlige og databehandlere skal inngå en skriftlig databehandleravtale med hverandre. Dette er et krav i henhold til artikkel 28 i GDPR.
Mer informasjon om personopplysninger på arbeidsplassen
Behandling av personopplysninger i forbindelse med rekruttering og i kompetansedatabaser
Når et selskap rekrutterer ansatte, behandler det vanligvis personopplysninger i forbindelse med rekrutteringsprosessen. I tillegg er bruk av kompetansedatabaser for både ekstern og intern rekruttering ikke uvanlig og innebærer derfor også behandling av personopplysninger. Det er viktig å ikke behandle flere personopplysninger enn det som er nødvendig for rekrutteringsformålet. Bedrifter må også slette personopplysningene når de ikke lenger er nødvendige for formålet. Legitime interesser er vanligvis et passende rettslig grunnlag for å støtte behandlingen. Samtykke, derimot, er vanligvis ikke egnet for bruk, da maktforholdet ikke er likt mellom arbeidssøkere og arbeidsgivere.