Mine områder
Hjelp

“Behandlingsgrunnlag” - en kort oversikt for lønns- og personalmedarbeidere

av Sven Ivar Lønneid (Oppdatert ‎08-06-2021 14:16 av Monica Bremtun-Olaussen - VISMA )

Vi gjør oppmerksom på at dette er en eldre artikkel.

 

I forkant av at en virksomhet kan behandle personopplysninger lovlig, må det foreligge et "behandlingsgrunnlag".

Aktuelle behandlingsgrunnlag er:
- Samtykke
- Nødvendig for å oppfylle en avtale
- Nødvendig for å oppfylle en rettslig plikt
- Nødvendig for å beskytte vitale interesser
- Nødvendig for å utføre en oppgave i offentlig interesse eller utøve offentlig myndighet
- Nødvendig for å ivareta legitime interesser - interesseavveining

 

Virksomheten skal også informere den enkelte om på hvilket grunnlag personopplysningene deres behandles.

 

I denne artikkelen kommenterer vi kort på de mest relevante behandlingsgrunnlagene for arbeidsgiver. 

Samtykke

Personvernforordningen artikkel 6 bokstav a fastslår at behandlingen av personopplysninger er lovlig dersom

  1. a) den registrerte har gitt samtykke til behandling av sine personopplysninger for ett eller flere spesifikke formål.

For at et samtykke skal være gyldig, må det være:

  • frivillig
  • spesifikt
  • informert
  • utvetydig
  • gitt gjennom en aktiv handling
  • dokumenterbart
  • mulig å trekke tilbake like lett som det ble gitt

Samtykke som behandlingsgrunnlag bør i utgangspunktet ikke brukes i arbeidsforhold. Fra dette utgangspunktet er samtykke ved publisering av bilder et praktisk unntak. 

Les mer om behandlingsgrunnlag i personvernforordningens artikkel 6 og hos Datatilsynet.

Nødvendig for å oppfylle en avtale

Personvernforordningen artikkel 6 bokstav b fastslår at behandlingen av personopplysninger er lovlig dersom,

  1. b) behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse

Et eksempel kan være der arbeidsgiver trenger opplysninger om arbeidstakeres bankforbindelse for å kunne utbetale lønn i henhold til arbeidsavtalen. 

Et annet eksempel er der en medlemsforening behandler både navn, e-postadresse og postnummer. Formålet med navn er å vite hvem som er medlem i foreningen. Foreningen kan ikke oppfylle medlemsavtalen uten å vite hvem medlemmene er. 

Nødvendig for å oppfylle en rettslig plikt

Personvernforordningen artikkel 6 bokstav c fastslår at behandlingen av personopplysninger er lovlig dersom

  1. c) behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige

Med rettslige forpliktelser menes her plikt man typisk har som følge av lov eller forskrift.

Et eksempel er plikten etter boksføringloven til å oppbevare lønns- og regnskapsmateriale. Så lenge den behandlingsansvarlige har plikt til å oppbevare regnskapsmaterialet i form av for eksempel dokumentasjon på bokførte opplysninger, vil han også ha behandlingsgrunnlag for eventuelle personopplysninger etter personvernforordningen.

Andre praktiske eksempler er dokumentasjon på oppfølging av sykefravær etter folketrygdloven og arbeidsmiljøloven. 

Nødvendig for å beskytte vitale interesser

Personvernforordningen artikkel 6 bokstav d fastslår at behandlingen av personopplysninger er lovlig dersom,

  1. d) behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser

Dette behandlingsgrunnlaget er ikke særlig praktisk i et arbeidsforhold. Det kan tenkes der man befinner seg i en akutt eller kritisk situasjon hvor hensynet til arbeidstakers liv og helse krever at det behandles eller utleveres personopplysninger.

Nødvendig for å utføre en oppgave i offentlig interesse eller utøve offentlig myndighet

Personvernforordningen artikkel 6 bokstav e fastslår at behandlingen av personopplysninger er lovlig dersom,

  1. e) behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt,

Nødvendig for å ivareta legitime interesser - interesseavveining

Personvernforordningen artikkel 6 bokstav f fastslår at behandlingen av personopplysninger er lovlig dersom

  1. f) behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn. 

En virksomhet kan behandle personopplysninger dersom det er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Denne bestemmelsen viser til en interesseavveining, og er behandlingsgrunnlag for mange ulike behandlinger av personopplysninger. Interessene til den behandlingsansvarlige eller tredjemann skal vurderes opp mot den registrertes interesser og rettigheter. Dersom dette grunnlaget benyttes skal behandlingsansvarlig også opplyse den registrerte om hvilke interesser behandlingsansvarlig legger til grunn for sin behandling. 

 

Les mer om “behandlingsgrunnlag” hos Datatilsynet.

3 Kommentarer
Sissel6
CONTRIBUTOR ***
av Sissel6

Hei,

 

Hva betyr dette i praksis? Jeg kan ingenting om slike ting. Vi har kun gått gjennom GDPR som gjelder for kunder og leverandør. 

Dette gjelder jo av hensyn til de ansatte. Jeg kjører "bare "lønn. Sjefen har all personalansvar og alt annet ansvar. 

av Sven Ivar Lønneid

Hei, så bra at dere har kontroll mht kunder og leverandører. 🙂 

Personvernreglene gjelder også i arbeidsforhold og ifht ansatte. En ting du sikkert kan starte med - er å kartlegge hva du har registret av personopplysninger i lønnssystemet og at det ikke ligger noe gammelt der som du ikke lenger har behandlingsgrunnlag for å ha liggende lenger - dette skal i såfall slettes. 

Sissel6
CONTRIBUTOR ***
av Sissel6

OK...men man har jo bare de opplysninger man trenger for å få kjørt lønn. Og ikke minst permer med lønnskjøring over antall år, før man oppgraderte til skybasert løsning(i fjor). Dett er jo helt relevante opplysninger som er nødvendige. Hvordan kan et slikt regelverk lage så mye ekstra jobb. 

Gå til de områdene du ønsker å legge til og velg "Legg til i Mine områder"