Arbeidsgivers håndtering av personopplysninger

– En kort veiledning for bruk av behandlingsgrunnlaget «berettiget interesse» i GDPR

 

Av Kristina Eikeland

Arbeidstakere er gitt en rett til vern av sine personopplysninger. For at arbeidsgiver lovlig skal kunne behandle arbeidstakers personopplysninger, kreves det blant annet at arbeidsgiver har et rettslig behandlingsgrunnlag.

Behandlingsgrunnlaget «berettiget interesse» har et vidt anvendelsesområde og blir ofte brukt i arbeidsforhold. Samtidig er dette behandlingsgrunnlaget komplisert utformet, og det er opp til arbeidsgivere selv å sørge for at de riktige vurderingene er foretatt og at dette kan dokumenteres. Manglende overholdelse vil kunne medføre brudd på GDPR.

Behandlingsgrunnlaget «berettiget interesse» følger av GDPR artikkel 6 nr. 1 bokstav f, og har tre vilkår, som alle må være oppfylt, for at arbeidsgiver skal kunne benytte seg av dette behandlingsgrunnlaget. Det første vilkåret er at arbeidsgiver må ha en «berettiget interesse», det andre vilkåret er at behandlingen må være «nødvendig». Det tredje vilkåret er at arbeidsgiver må sannsynliggjøre at ikke arbeidstakers «interesser eller grunnleggende rettigheter og friheter går foran og krever vern». Dette siste vilkåret legger opp til en såkalt interesseavveining mellom arbeidsgivers og arbeidstakers interesser.

Nedenfor følger en kort veiledning i hvordan arbeidsgivere bør gå frem for å vurdere om de tre vilkårene i behandlingsgrunnlaget «berettiget interesse» er oppfylt.

Arbeidsgiver må ha en «berettiget interesse»

Det første vilkåret er at arbeidsgiver må ha en «berettiget interesse». Arbeidsgivers «interesse» kan beskrives som det behovet arbeidsgiver har for å behandle personopplysninger. Deretter kreves det at interessen er «berettiget». For at en interesse skal anses berettiget må interessen være lovlig, den kan derfor ikke stride mot norsk lov. Det kreves også at interessen er klart definert på forhånd. Dette betyr at arbeidsgiver skal kunne vise til interessen før innhenting og behandling av personopplysninger starter. Til slutt er det et krav om at interessen må være reell og saklig begrunnet i virksomheten for å anses berettiget. Det må derfor være en faktisk og ekte interesse, som har en naturlig tilknytning til virksomheten. Dersom et flyselskap ønsker å rusteste pilotene må en slik interesse i utgangspunktet kunne anses som reell og saklig begrunnet i virksomheten. Et rådgivningsfirma, som har en generell interesse i å sikre et godt arbeidsmiljø, vil i utgangspunktet slite mer med å argumentere for at rustesting av kontoransatte er saklig begrunnet.

Behandlingen av personopplysninger må være nødvendig

Med «nødvendig» menes det at det ikke må være mulig for arbeidsgiver å oppnå det man ønsker med behandlingen på en annen måte. Finnes det imidlertid realistiske alternativer, som er mindre inngripende overfor arbeidstakeren, så er ikke nødvendighetskravet oppfylt. Arbeidsgiver må derfor vurdere om behandlingen av personopplysningene er nødvendig, og arbeidsgiver må velge den behandlingen som er minst inngripende. Kommer arbeidsgiver frem til at behandlingen ikke er nødvendig så kan ikke arbeidsgiver benytte seg av dette behandlingsgrunnlaget.

Interesseavveining

Det tredje og siste vilkåret er at arbeidsgiver må sannsynliggjøre at ikke arbeidstakers «interesser eller grunnleggende rettigheter og friheter går foran og krever vern». Det skal her foretas en interesseavveining mellom arbeidsgivers og arbeidstakers interesser.

Arbeidstakers «interesser» kan enklest beskrives som arbeidstakers mulige reaksjoner på arbeidsgivers behandling av personopplysningene. Når det gjelder «arbeidstakers grunnleggende rettigheter og friheter» så siktes det til helt generelle rettigheter og friheter for eksempel retten til privat og familieliv og retten til ytringsfrihet.

Avveiningen må ta utgangspunkt i arbeidsgivers berettigede interesser på den ene siden og arbeidstakers interesser som oppstår som en mulig reaksjon på behandlingen av personopplysninger på den andre siden. På begge sider skal både fordeler og ulemper tas med i vurderingen.

Arbeidsgiver må først ta stilling til hvor tungtveiende de berettigede interessene er, og hvilke fordeler behandlingen av personopplysningene gir virksomheten.

Deretter må arbeidsgiver ta stilling hvordan behandlingen kan påvirke arbeidstakerne, og hva som er arbeidstakernes interesser i forhold til dette. Her skal alle måter arbeidstakeren kan påvirkes på – tas i betraktning. Momenter arbeidsgiver bør se på er blant annet om ulempene med behandlingen vil vare over tid, hvilke typer personopplysninger det gjelder samt risikoen for at personopplysningene kan komme på avveie.

Arbeidsgiver må videre vurdere om risikoen for personvernkonsekvenser kan reduseres. En måte å redusere risikoen på vil være å øke sikkerheten rundt personopplysningene for å hindre at disse kommer på avveie, for eksempel ved at kun et fåtall i virksomheten har adgang til disse personopplysningene og at innsyn automatisk loggføres.

Til slutt må det vurderes om det er balanse mellom hva arbeidsgiver oppnår med behandlingen av personopplysningene og hvor sterk påvirkning det har på arbeidstakerne. Er det forholdsmessighet mellom hva arbeidsgiver oppnår med behandlingen holdt opp mot arbeidstakernes interesser, så er det tredje vilkåret oppfylt.

Kan arbeidsgiver benytte seg av behandlingsgrunnlaget «berettiget interesse»?

Hvis arbeidsgiver oppfyller alle tre vilkår: 1) interessen er berettiget, 2) behandlingen er nødvendig og 3) det kan sannsynliggjøres at arbeidstakers interesser eller grunnleggende rettigheter og friheter ikke går foran og krever vern, kan arbeidsgiver benytte seg av behandlingsgrunnlaget «berettiget interesse». I motsatt fall må arbeidsgiver finne et annet rettslig behandlingsgrunnlag.

Arbeidsgiver må også kunne dokumentere at disse vurderingene er foretatt. Det stilles krav om at både de identifiserte interessene og selve interesseavveiningen kan dokumenteres. Dokumentasjonen må kunne fremvises både overfor arbeidstakeren og ved behov også overfor tilsynsmyndighetene.

***

04.03.2021

Kristina Eikeland tar opp samme tema i Brækhus’ podkast Lovlytt.

Lytt til episoden Arbeidsgivers håndtering av personopplysninger