Alle arbeidsgivere behandler personopplysninger om sine ansatte på ulike måter, og er dermed underlagt en rekke plikter. Det er viktig at alle virksomheter setter seg inn i hva de nye reglene innebærer for den behandling av personopplysninger som skjer i deres virksomhet. Ved ikrafttredelsen av GDPR skjerpes en del eksisterende forpliktelser, og noen nye forpliktelser inntrer. Det er derfor nødvendig for alle virksomheter å foreta en gjennomgang av hvilke personopplysninger som behandles i virksomheten og vurdere rutinene for slik behandling.
Vi anbefaler alle virksomheter å analysere hvilke rutiner man har i dag, og hva man eventuelt mangler. I det følgende oppsummerer vi de viktigste HR-relevante forholdene som virksomheten må ha rutiner for. For HR er det særlig viktig å kartlegge hvilken registrering og behandling av personopplysninger som finner sted i løpet av et ansettelsesforhold, fra rekruttering til avslutning og sikre at nødvendige rutiner og behandlingsgrunnlag er på plass.
FASE 1 – REKRUTTERING
- Behandlingsgrunnlag
For innsamling av personopplysninger ved rekruttering, er behandlingsgrunnlaget at behandlingen er nødvendig for å forberede inngåelse av eventuell ansettelsesavtale. Dersom man skal beholde CVer etc. fra kandidater som ikke får jobben, slik at man eventuelt kan kontakte dem senere, må man innhente kandidatens samtykke til slik oppbevaring.
- Bruk av rekrutteringsbyråer
Ved bruk av rekrutteringsbyråer, sikre at det foreligger nødvendig databehandleravtale mellom virksomheten og rekrutteringsbyrået. Databehandleravtalen skal sette rammene for rekrutteringsbyråets behandling av personopplysninger på vegne av virksomheten.
- Begrens innsyn i innsamlede opplysninger
Kun de som absolutt trenger tilgang til opplysninger om kandidater skal ha det. Man må derfor innføre tilgangsnivåer som begrenser innsynet til rekrutterende ledere om informasjon, og særlig sensitiv informasjon.
- Gi nødvendig informasjon til søkeren
HR må sørge for at søkeren gis informasjon om behandlingen av personopplysninger i søknadsprosessen. Informasjonen kan gjerne gis som ledd i søknadsprosessen, før søknaden sendes inn. Hvor søknaden sendes inn manuelt eller på e-post, bør informasjonen ligge lett tilgjengelig på virksomhetens nettsider.
- Sørg for å ha rutine for sletting/ innhenting av nødvendige samtykkeerklæringer for videre oppbevaring
Virksomheten må ha rutine for å sikre at kandidatdata slettes etter en viss tidsperiode, dersom kandidaten ikke samtykker til at virksomheten oppbevarer data for potensielle fremtidige stillinger.
FASE 2 – UNDER ANSETTELSESFORHOLDET
- Gi de ansatte informasjon om at overvåkning og logging finner sted
Ved drifts- og sikkerhetsovervåkning av bedriftens IT-systemer vil det bli behandlet personopplysninger om brukerne. Personopplysningene kan komme i form av IP-adresser til brukernes klienter, påloggingsinformasjon og oversikt over aktiviteten på eller til/fra et system eller applikasjon.
Det er derfor viktig at de ansatte får informasjon om at slik overvåking og logging finner sted.
- Sørg for nødvendige samtykkeerklæringer for bruk av bilder på Internett og Intranett
HR må sørge for å innhente nødvendige samtykkeerklæringer for bruk av bilder av den ansatte på Internett og Intranett. Dette kan entes tas inn i ansettelsesavtalen eller utarbeides separat. Det er viktig at slike samtykker fyller de formelle kravene som stilles til samtykker i lovgivning. Spesielt viktig er at samtykke skal være frivillig – det må gjøres helt klart for den ansatte at det er frivillig å samtykke til bruk av bilde på internett og intranett, og den ansatte må ikke møtes med negative konsekvenser eller omtale dersom samtykke ikke gis.
- Ha rutiner for hvilke opplysninger som lagres personalmappen, hvem som har tilgang, hvor lenge disse lagres og rutiner for sletting
I personalmappen vil det normalt ligge en rekke dokumenter inneholdende personopplysninger. Som eksempel kan nevnes arbeidsavtale, kurs og kompetansebevis, lønnsjusteringer, advarsler, oversikt over fravær, referater fra medarbeidersamtaler mv.
Virksomheten kan bare oppbevarer opplysninger i personalmappen så lenge man har behandlingsgrunnlag for disse, det vil si så lenge opplysningene er nødvendige for formålet de ble samlet inn for. Normalt vil de fleste av opplysningene i personalmappen være nødvendige så lenge ansettelsesforholdet består, men ikke alltid. Det er derfor viktig å ha rutine for hvilke opplysninger som lagres her, hvem som har tilgang, hvor lenge opplysningene lagres og når de skal slettes.
- Utarbeid rutine for lagring av epost i fellesområder
Virksomheten bør ha en rutine om at e-post alltid skal lagres på virksomhetens fellesområde. For det første sikrer man da at virksomhetskritisk informasjon (kommunikasjon med kunder etc.) ikke kun er tilgjengelig for en enkelt ansatt, men for alle som trenger informasjonen. I tillegg unngår man bryet med å gjennomgå ansattes epostkonto ved avslutning av arbeidsforholdet. Arbeidsgiverens innsyn i arbeidstakerens epostkonto er svært strengt regulert, og kan by på en rekke praktiske problemer dersom man ikke har gode nok rutiner.
- Den ansatte har innsynsrett
Arbeidstakeren skal gis informasjon om behandlingsansvarlig, formålet med behandlingen, om opplysningene vil bli utlevert til andre, og i så fall hvem, at det er frivillig å gi fra seg opplysningene, hvor lenge opplysningene blir lagret og annet som gjør at de registrerte kan ivareta rettighetene sine, for eksempel retten til innsyn, retting og sletting.
Dette kan enklest og mest praktisk gjøres ved å ha en personvernpolicy på Intranettet. Det er viktig å merke seg at arbeidstakeren i utgangspunktet har en rett til å få utlevert sine personopplysninger i elektronisk format, enten i kraft av innsynsretten eller den nye retten til dataportabilitet. Alle virksomheter bør ha rutiner på plass for vurdering av hvilke opplysninger som kan utleveres, for å ikke få problemer med utlevering av forretningshemmeligheter eller andre taushetspliktbelagte opplysninger.
FASE 3 – AVSLUTNING AV ANSETTELSESFORHOLDET
- Sørg for å samle inn utstyr, mobil, data, adgangskort mv
Når en arbeidstaker slutter, må HR ha en rutine for innsamling av utstyr som mobil, data, adgangskort mv.
Dersom det inngås sluttavtale i forbindelse med avslutning av et arbeidsforhold, bør tilbakeleveringsplikten fremgå av sluttavtalen.
- Rutine for gjennomgang, sletting av e-post
Dersom virksomheten ikke har rutine om at all epost skal lagres på fellesområdet, må virksomheten i alle fall må ha en rutine for gjennomgang og sletting av e-post når en ansatt slutter.
Virksomheten må la medarbeideren gå gjennom alle dokumenter og eposter før vedkommende slutter, og selv slette det som er privat informasjon. Pass på at vedkommende gir en skriftlig bekreftelse på at dette er gjort, slik at gjenværende informasjon vil være virksomhetsrelatert.
- Rutine for oppbevaring og sletting av opplysninger i personalmappen etter en viss tid
HR bør gjennomgå medarbeiderens personalmappe og slette all unødvendig informasjon. Dette bør skje innen rimelig tid etter at arbeidsforholdet er opphørt. Rutinen må ta utgangspunkt i forsvarlige vurderinger av oppbevaringstid og sletteplikt, herunder forpliktelser i regnskaps- og bokføringsregelverket om oppbevaring av data.
Makulering av sensitive dokumenter i papirform må gjøres på en slik måte at det ikke er mulig å rekonstruere informasjonen.