Kort svar
Ansattdata kan behandles når virksomheten trenger det, men arbeidsgiver må være særlig bevisst på maktbalansen og nødvendigheten.
Start med å kontrollere om dagens praksis faktisk dekker hvilke opplysninger som faktisk er nødvendige, hvilket grunnlag og hvilke rutiner som gjelder og hvordan innsyn, lagring og tilgang håndteres.
Når dette ofte blir aktuelt
- når virksomheten må avklare hvilke opplysninger som faktisk er nødvendige
- når dere er usikre på om dagens praksis dekker hvilket grunnlag og hvilke rutiner som gjelder
- når ledelse eller styre trenger kontroll på hvordan innsyn, lagring og tilgang håndteres
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Hvilke opplysninger som faktisk er nødvendige | viser om plikt eller risiko faktisk er utløst |
| Hvilket grunnlag og hvilke rutiner som gjelder | peker på hvilke tiltak som haster mest |
| Hvordan innsyn, lagring og tilgang håndteres | gjør det lettere å forklare og dokumentere vurderingen |
Praktisk framgangsmåte
- Beskriv dagens praksis konkret før dere vurderer nye tiltak.
- Test om grunnlag, rutiner og dokumentasjon dekker hvilke opplysninger som faktisk er nødvendige.
- Lukk de største hullene først rundt hvilket grunnlag og hvilke rutiner som gjelder.
- Sørg for løpende oppfølging og dokumentasjon av hvordan innsyn, lagring og tilgang håndteres.
Dokumentasjon som ofte avgjør
Det som faktisk er dokumentert underveis, betyr ofte mer enn hva bedriften mente å gjøre. Samle derfor:
- beskrivelse av formål, datatyper og valgte grunnlag
- informasjonstekster, samtykkeløsning eller intern vurdering
- kartlegging av hvilke personopplysninger virksomheten behandler
- rutiner, policyer og avtaler som styrer behandlingen
Vanlige feil
- dagens praksis blir tatt for gitt uten at den testes mot faktiske krav og forhold
- virksomheten beskriver et formål, men jobber i praksis på en annen måte
- for mye data samles inn fordi ingen eier oppryddingen
Når bør dere hente konkret hjelp?
Når store datamengder, ansattdata, tredjelandsoverføring eller reell sikkerhetsrisiko er involvert, bør vurderingene forankres tydelig og sees samlet. Det gjelder særlig hvis dere kan bli møtt med tilsyn, krav om innsyn, økonomisk tap eller personlig ansvar.
Relaterte guider
- Privat bruk av arbeidsutstyr og innsyn fra arbeidsgiver: hva gjelder?
- Informasjonsplikt når opplysninger kommer fra andre enn den registrerte
- Innsynsbegjæring fra kunde eller ansatt: hvordan svare?