Personvern

GDPR er i dag en del av personopplysningsloven. Alle virksomheter som samler inn eller bruker personopplysninger om EU/EØS-borgere må følge reglene.

Kan du som arbeidsgiver opplyse om ansatte som er smittet?
Opplysning om at en ansatt er smittet med koronavirus er å regne som en helseopplysning/sensitiv personopplysning. Personvernregelverket har strenge regler for behandling av slike opplysninger, som kommer i tillegg til de vanlige reglene for behandling av ikke-sensitive personopplysninger.

Arbeidsgivers informasjon til sine ansatte om mulige smittede og smittede skal begrenses til det som er nødvendig for å sikre et forsvarlig arbeidsmiljø. I utgangspunktet skal ikke arbeidstakernes navn nevnes, da det normalt vil være tilstrekkelig å opplyse om antall ansatte i eventuell karantene eller antall ansatte som er smittet.

Dersom arbeidsgiver etter en konkret vurdering finner det nødvendig å navngi en ansatt som er smittet, for eksempel for å varsle andre ansatte som har vært i kontakt med den smittede, må dette gjøres i samråd med den ansatte. Det er svært viktig at arbeidsgiver til enhver tid ivaretar den ansattes integritet og verdighet, ikke bare direkte overfor den smittede, men også overfor de øvrige ansatte i virksomheten.

Informasjon til utenforstående

Arbeidsgiver skal ikke informere kunder, leverandører eller andre utenforstående om navngitte ansattes smitte- eller karantenesituasjon.

Beskjeden til utenforstående som ønsker å få kontakt med den ansatte kan for eksempel være at vedkommende er fraværende eller ikke tilgjengelig.

Dersom den ansatte har hjemmekontor eller er tilgjengelig på annen måte, bør kommunikasjonen utad gjøres i samråd med den ansatte, i den grad det er behov for å informere om smitte eller karantene.

Hva regnes som personopplysninger?

Personopplysninger er informasjon som kan knyttes til deg som enkeltperson. Navnet ditt, e-postadressen din, telefonnummeret ditt og bostedsadressen din er eksempler på personopplysninger.

Hva er sensitive personopplysninger?

Sensitive personopplysninger, omtalt som «særlige kategorier av personopplysninger» i GDPR, er personopplysninger om følgende forhold:

Rasemessig eller etnisk opprinnelse
Politisk oppfatning
Religion
Filosofisk overbevisning
Fagforeningsmedlemskap
Genetiske opplysninger
Biometriske opplysninger
Helseopplysninger
Opplysninger om seksuelle forhold eller seksuell orientering

Må jeg slette all data om jeg ikke har samtykke?

Mange tror at GDPR krever at du må slette alt du ikke har fått samtykke til. Slik er det heldigvis ikke. Unødvendig sletting av personopplysninger skaper praktiske problemer for både virksomheter og enkeltpersoner, og bidrar til at altfor mye tid og ressurser brukes på annet enn verdiskaping. Mange er ikke klar over at samtykke kun er ett av flere alternative grunnlag for behandling av personopplysninger.

Hva må du gjøre for å følge GDPR?

Det viktigste for deg som arbeidsgiver er å behandle personopplysninger på riktig måte. Dette kan du enkelt få til ved å følge Virkes 7 steg:

1. Skaff deg oversikt
Det første du må gjøre for å overholde personvernregelverket, er å skaffe deg oversikt over hvilke personopplysninger bedriften samler inn, bruker og behandler.
2. Sjekk om du har et behandlingsgrunnlag
Bruk av personopplysninger forutsetter at bedriften din har et såkalt behandlingsgrunnlag. Et behandlingsgrunnlag vil typisk være et samtykke, en avtale eller en lovbestemt forpliktelse.
3. Lag en personvernerklæring
Du som behandler personopplysninger må tydelig formidle til de det gjelder hvordan bedriften samler inn denne informasjonen, og hvordan dere behandler personopplysninger. I tillegg skal du gjøre informasjonen lett tilgjengelig for den du samler opplysninger om.
4. Få sving på internkontrollen
Bedriften din må ha gode, skriftlige rutiner for hvordan dere behandler personopplysninger.
5. Sørg for trygg behandling av personopplysningene
Bedriften din må sørge for at personopplysninger ikke kommer på avveie eller blir tilgjengelig for utenforstående.
6. Vurder om du trenger et personvernombud
Bedrifter som behandler store mengder personopplysninger eller sensitive personopplysninger, kan være forpliktet til å ha et personvernombud.
7. Overfør personopplysninger på en sikker måte
I mange tilfeller trenger du å overføre personopplysninger ut av virksomheten, for eksempel til samarbeidspartnere, leverandører eller myndigheter. Det er viktig at slik overføring gjøres på en sikker måte, og i enkelte tilfeller må du inngå en en såkalt databehandleravtale med mottakeren.