GDPR: Ikke nødvendig med samtykke fra ansatte
Hvordan bør arbeidsgiver behandle personopplysninger om sine egne ansatte?
Etter at den nye personopplysningsloven (GDPR) trådte i kraft tidligere i år har de fleste bedrifter gått grundig igjennom sine rutiner for behandling av personopplysninger.
GDPR gjelder også for behandling av personopplysninger om bedriftens egne ansatte. Som arbeidsgiver har du kanskje bedt om samtykke fra de ansatte om å behandle personopplysninger om dem? Det er i mange tilfeller ikke nødvendig, og heller ikke anbefalt. Her er en oversikt over hvilke andre behandlingsgrunnlag som gjør seg gjeldende når arbeidsgiver skal behandle personopplysninger om sine ansatte.
Det må finnes et behandlingsgrunnlag – men det behøver ikke å være samtykke
Uansett hvem en virksomhet skal behandle personopplysninger om, så må det finnes et behandlingsgrunnlag. Man må altså ha en grunn som er hjemlet i personvernreglene, hvis ikke er det ulovlig å behandle personopplysningene.
Lovbestemte plikter
Arbeidsgiver kan med grunnlag i lovverket være pliktig å behandle visse personopplysninger om ansatte. Dersom arbeidsgiver er pålagt å behandle visse personopplysninger har man også lov til det, og det er da ikke nødvendig med samtykke fra de ansatte.
Både arbeidsmiljøloven og folketrygdloven inneholder slike plikter. Blant annet er det nødvendig at arbeidsgiver behandler personopplysninger om sine ansatte i forbindelse med å følge opp sykdom.
Arbeidsavtalen gir grunnlag for behandling av personopplysninger om ansatte
Et gyldig behandlingsgrunnlag for å behandle personopplysninger er i forbindelse med å oppfylle en avtale som personen er part i. Dette inkluderer arbeidsavtaler.
For å oppfylle en arbeidsavtale er det nødvendig å ha med visse personopplysninger om den ansatte. Det er for eksempel nødvendig for arbeidsgiver å ha opplysninger om arbeidstakerens bankforbindelse når det skal utbetales lønn i henhold til arbeidsavtalen.
Sørg for at lønnsutbetalingene går korrekt for seg – les mer om våre lønnstjenester
Arbeidsgivers berettigede interesse
Et tredje behandlingsgrunnlag for personopplysninger er at arbeidsgiver har legitime interesser for det. Behandlingen av personopplysningene må ha en lovlig, saklig og definert grunn, som veier tyngre enn ulempene det eventuelt medfører for arbeidstakeren.
Om berettiget interesse brukes om behandlingsgrunnlag er det svært viktig at vurderingen som er gjort i forkant dokumenteres godt.
Hvorfor ikke be om samtykke fra sine ansatte?
Et viktig aspekt ved å be om samtykke til å behandle personopplysninger, er at dette samtykket enkelt må kunne trekkes tilbake, uten negative konsekvenser. I et arbeidsforhold er det en del forhold som kan bli vanskelig å gjennomføre om en ansatt har trukket tilbake sitt samtykke. Det er derfor anbefalt å ikke bruke samtykke fra de ansatte som grunnlag, men heller støtte seg på et av de andre behandlingsgrunnlagene som er aktuelle.
Ser du etter en bedre løsning for regnskapet i bedriften din, eller har behov for økonomisk rådgivning? Ta kontakt med oss i Accountor for et uforpliktende tilbud. Vi har lang erfaring med store og små bedrifter i de fleste bransjer.
Les mer om GDPR: Kravet om samtykke – hva innebærer det?
Kilder: Simployer , Datatilsynet