Hva kan lagres

Alle opplysninger som kan knyttes direkte eller indirekte til et individ er å anse som personopplysninger og faller dermed inn under personopplysningslovens virkeområde. Dette inkluderer bilder og opplysninger som navn og adresse, alder, skatteopplysninger, eller annet. Behandlingen av disse opplysningene må dermed følge et relativt strengt sett med regler.

Som hovedregel skal man innhente samtykke før man behandler personopplysninger i det hele tatt, men i et arbeidsforhold er ikke samtykke påkrevd dersom man skal behandle opplysninger som er nødvendige for å gjennomføre arbeidsrettslige plikter eller rettigheter. Dette fristiller arbeidsgiver i stor grad men det vil også gjelde noen begrensninger, og arbeidsgiver bør derfor ha god oversikt over følgende:

  • Hva lagrer vi?
  • Hvorfor lagrer vi?
  • Må vi lagre dette?

Informasjonen man tar vare på skal være nødvendig, saklig, og relevant i forhold til arbeidsforholdet. Dersom de ikke er det skal de slettes.

Ofte har man et ønske om å lagre informasjon som anses som «harmløs». Man kan tenke seg at man vil registrere hva de ansatte har av preferanser i forhold til mat eller hobbyer, f.eks. for å kunne planlegge et arrangement. Dette vil være utenfor det som er nødvendig for å gjennomføre oppgaven som arbeidsgiver, og man må derfor innhente et samtykke fra den ansatte for å lagre denne informasjonen.

Eksempel på informasjon som er lov til å behandle uten samtykke er blant annet:

  • Navn, adresse, telefonnummer
  • Fødselsnummer
  • Sivilstand
  • Opplysninger om barn av betydning for rett til fravær og permisjoner
  • Fravær
  • Informasjon om utlånte gjenstander, lån, firmabil, eller liknende.
  • Vitnemål og attester
  • Ansettelsesavtaler
  • Ansettelsesdato, sluttdato
  • Lønns-, trekk-, og pensjonsopplysninger
  • Referat fra medarbeidersamtaler
  • Permisjonssøknader

Hovedtrekk om krav til sikkerhet

Den som skal behandle personopplysninger plikter å foreta en risikovurdering som tar hensyn til hva slags informasjon man lagrer og hvor sensitive de er. I dette ligger det at man må vurdere hvordan eventuelle uønskede hendelser kan inntreffe, hvilke følger en hendelse kan medføre, og hvor sannsynlig det er at det skjer. Man må så vurdere om den risikoen man har avdekket er innenfor det man kan akseptere eller ikke, og sørge for å sikre systemene og etablere rutiner som passer til behovet.

Når man skal vurdere hvilke sikkerhetstiltak man skal iverksette bør man tenke på:

  • Konfidensialitet – uvedkommende skal ikke kunne se informasjonen.
  • Integritet – man skal kunne være trygg på at det ikke er feil i opplysningene eller at de har blitt redigert uten at det er tilsiktet eller uten at man vet hvem som har endret.
  • Tilgjengelighet – opplysningene skal være tilgjengelige til den bruk de har som formål, og også ved forespørsler om innsyn fra de ansatte, se mer om dette nedenfor.

For eksempel vil man kunne avdekke som risiko at ansatte kan finne dokumentene på et felles lagringsområde. Opplysningene kan omhandle sykdom, som er en svært sensitiv opplysning. Konsekvensene dersom noen finner dette må derfor anses å være store for den som rammes. En slik risiko er klart ikke akseptabel, og man må dermed sørge for en kryptering (passordbeskyttelse) av data, og kanskje i tillegg sørge for at opplysningene lagres utenfor datanettverket.

For gjennomføring av sikringstiltak vil man i de fleste tilfeller bli nødt til å søke bistand. Tema for diskusjon med tredjepart vil da gjerne være kryptering med brukernavn og passord, logging av endringer, tilgjengelighet for gjester som bruker det trådløse nettverket, lagring av data hos tredjeparter (i «skyen»), bruk av bærbare datamaskiner på fremmede nettverk, med mere.

Når det gjelder løpende oppfølging, bør dette skje i form av at man aktivt forsøker å oppdage om det har skjedd avvik. Ved eventuelle avvik må man vurdere iverksetting av tiltak for å hindre at det skjer igjen og for å sørge for skadebegrensning. Eksempel på avvik vil kunne være at det er lagret informasjon man ikke har samtykke eller annen hjemmel til å behandle i virksomheten, eller at passord har kommet på avveie.

Virksomheten må også ha en rutine på at opplysninger som er lagret gjennomgås regelmessig for å sikre at man ikke lagrer mer enn det som er tillatt eller lengre enn det som er tillatt, se nedenfor.

En annen del av de alminnelige rutinene i virksomheten må innebære å gi de ansatte god nok opplæring til å kunne overholde reglene. Dette gjelder alle opplysningene som behandles i virksomheten. Dersom f.eks. virksomheten har en velferdskomité og disse lagrer informasjon om matintoleranse eller religiøse forbud mot mat og alkohol er dette ansett som sensitive opplysninger som krever samtykke og forsvarlig sikring på lik linje som personalmappen. Notater som ansatte gjør om enkeltpersoner hos kunder vil også være lagring av personopplysninger som virksomheten kan måtte stå til rette for.

Datatilsynet krever at det skal være etablert skriftlige rutiner som beskriver hvordan personopplysningene håndteres og følges opp.

Hvor lenge kan man lagre opplysningene

Arbeidsgiver skal ikke lagre opplysninger lengre enn det som er nødvendig for å oppnå formålet med lagringen. Dette vil for eksempel kunne gjelde der man har lagret opplysninger om barn, men barna nå har blitt så gamle at de ikke lenger kan utløse rett til fri på grunn av barns sykdom. Formålet med å ta vare på opplysningene er dermed ikke tjent lenger, og man må slette opplysningene.

Et annet eksempel kan være der hvor man har gitt en ansatt en advarsel, og denne lagres i personalmappen. I et slikt tilfelle må arbeidsgiveren vurdere hvor lenge man har noen nytte i at advarselen lagres. Dersom det har gått så lang tid at det vil være unaturlig å legge vekt på advarselen, må den også slettes. Den må også slettes hvis forholdene advarselen gjaldt er ryddet opp i på en slik måte at den ikke lengre har relevans for det fremtidige arbeidsforholdet.

Arbeidsgiver plikter å rutinemessig gå gjennom opplysningene som er lagret for å sikre at virksomheten ikke lagrer mer enn det som er tillatt.

Rett til innsyn

Personalmappen skal være sikret mot innsyn fra alle som ikke har saklig og tjenstlig behov for tilgang. Arbeidsgiver plikter å sørge for at opplysningene er forsvarlig sikret og at innsyn kun kan foretas av en svært begrenset krets av personer, for eksempel kun daglig leder og personalsjef.

Men, for at den som er registrert skal kunne være trygg på at opplysninger blir behandlet forsvarlig har arbeidstakeren selv en nærmest ubegrenset rett til innsyn i hva som er lagret om seg, og hvilke sikkerhetstiltak som er benyttet. Arbeidsgiver har ikke anledning til å unndra seg dette annet enn i helt snevre tilfeller, og man må da kunne begrunne dette skriftlig. Et relevant unntak er dersom informasjonen utelukkende finnes i tekst som er utarbeidet for intern saksforberedelse, og som heller ikke er utlevert til andre.

Dersom en ansatt krever innsyn har arbeidsgiver plikt til å svare innen 30 dager, og til å utlevere informasjonen skriftlig.

Arbeidstakeren kan også kreve retting av opplysningene i personalmappen dersom de er uriktige eller ufullstendige. Eksempel på dette kan være at den ansatte mener referat fra medarbeidersamtale er uriktig fremstilt eller mangelfullt. Arbeidsgiver plikter da å rette og supplere dokumentene med korrekte opplysninger.

I tillegg til at de registrerte kan kreve innsyn, har alle som ønsker det rett til generell informasjon om hvordan virksomheten benytter personopplysninger generelt. Dette inkluderer informasjon om hvem som har det daglige ansvaret, formålet med behandling av personopplysninger, hvilke typer opplysninger som samles inn, hvor de er samlet inn fra og hvem de vil bli utlevert til.

Straff

Dersom reglene ikke overholdes kan Datatilsynet ilegge overtredelsesgebyr eller tvangsmulkt. I forbindelse med den nye EU-forordningen som innarbeides i norsk rett i løpet av ett til to år vil strafferammen økes til et tak på 4 % av global omsetning, eller 20 millioner euro, hva nå enn som er høyest.

Tekst: Kai Runar Bang er rådgiver i Sticos AS på avdeling for personalsaker. Kai er utdannet jurist, og har arbeidsrett og allmenn juss som fagområde. Sticos er ledende på faglige oppslagsverk og holder HR- og regnskapsbransjen oppdatert på lover og regelverk. www.sticos.no