Som arbeidsgiver er det viktig å lagre dine ansattes data riktig. Ved å gjøre det er du forpliktet til å føre personaljournal over ansattes personopplysninger. Ved lagring av slike data skal personvernlovens generelle databeskyttelsesforordning (AVG) og gjennomføringslovens generelle databeskyttelsesforordning (UAVG) tas i betraktning. AVG pålegger arbeidsgiver forpliktelser i forbindelse med behandling av personopplysninger. Gjennom denne sjekklisten vil du vite om personalfilene dine oppfyller kravene.
- Hvilke data kan behandles i en personalmappe?
Hovedregelen som følges er at kun opplysninger som er nødvendige for formålet med personalmappen kan inkluderes: forsvarlig oppfyllelse av arbeidsavtalen med arbeidstakeren.
I alle fall vil "vanlige" personopplysninger bli oppbevart som:
- Navn;
- Adresse;
- Fødselsdato;
- Kopi av pass/identitetskort;
- BSN-nummer
- Signert arbeidskontrakt inkludert arbeidsvilkår og vedlegg;
- Ansattes ytelses- og utviklingsdata, for eksempel avgrensningsrapporter.
Arbeidsgivere kan velge å utvide personalmappen til å inkludere andre data som personlige notater fra arbeidsgiveren, fraværsregistrering, klager, advarsler, registreringer av intervjuer etc.
Som arbeidsgiver er det viktig å oppdatere disse dataene regelmessig for å forfølge korrekthet og nøyaktighet i forhold til lovlige oppbevaringsperioder.
- Når kan "vanlige" personopplysninger behandles i en personalmappe?
En arbeidsgiver må vurdere når og hvilke «vanlige» personopplysninger som kan lagres i personalmappen. I henhold til artikkel 6 AVG kan arbeidsgivere lagre "vanlige" personopplysninger i personalmappen av seks grunner. Disse årsakene inkluderer:
- Arbeidstakeren har gitt samtykke til behandlingen;
- Behandling er nødvendig for gjennomføring av arbeidstakeravtale;
- Behandlingen er nødvendig på grunn av en juridisk forpliktelse som påhviler arbeidsgiveren (som å betale skatter og avgifter);
- Behandling er nødvendig for å beskytte de vitale interessene til den ansatte eller en annen fysisk person (et eksempel er når akutt fare er overhengende, men den ansatte er mentalt ute av stand til å gi samtykke);
- Behandling er nødvendig for allmenn interesse/offentlig orden;
- Behandling er nødvendig for å tilfredsstille de legitime interessene til arbeidsgiveren eller tredjeparten (bortsett fra der arbeidstakerens interesser veier tyngre enn arbeidsgiverens legitime interesser).
- Hvilke data skal ikke behandles i en personalmappe?
I tillegg til de 'normale' dataene som er inkludert i filen, er det også data som (normalt) ikke bør inkluderes fordi de er spesielt sensitive. Dette er de "spesielle" dataene og inkluderer:
- Tro;
- Seksuell orientering;
- Rase eller etnisitet;
- Medisinske data (inkludert når de oppgis frivillig av ansatt).
'Spesielle' data kan bare lagres under AVG i 10 unntak. De tre viktigste unntakene er som følger:
- Arbeidstakeren har gitt uttrykkelig samtykke til behandlingen;
- Du behandler personopplysninger som arbeidstakeren selv målrettet har utlevert;
- Behandlingen er nødvendig for en overordnet offentlig interesse (det kreves et nederlandsk rettsgrunnlag for å påberope seg dette).
- Sikkerhetstiltak for personalmapper
Hvem har lov til å se personalmappen?
Personalmappen kan kun sees av personer som det er nødvendig med tilgang for å utføre arbeid. Disse personene inkluderer for eksempel arbeidsgiver og ansatte i HR-avdelingen. Arbeidstakeren har også selv rett til å se sin personalmappe og endre uriktige opplysninger.
Sikkerhetskrav for filen
Utover dette er det viktig å ta hensyn til at AVG stiller krav til digital eller papirlagring av personalfiler. Som arbeidsgiver er du forpliktet til å iverksette tiltak for å beskytte ansattes personvern. Filen må derfor beskyttes mot nettkriminalitet, uautorisert tilgang, endring eller sletting.
- Oppbevaringsperiode for personalet
AVG sier at personopplysninger kan oppbevares i en begrenset periode. Noen data er underlagt en lovbestemt oppbevaringsperiode. For andre data er arbeidsgiveren pålagt å sette tidsfrister for sletting eller periodisk gjennomgang av dataenes nøyaktighet. AVG uttaler at rimelige tiltak må iverksettes for å sikre at unøyaktige data lagres.
Vil du vite mer om oppbevaringsperioder for ansatte? Så les bloggen vår oppbevaringsperioder for ansattes filer.
Oppfyller din personalmappe kravene oppført ovenfor? Da er sjansen stor for at den er AVG-kompatibel.
Hvis du etter å ha lest denne bloggen fortsatt har spørsmål om en personalfil eller om AVG, vennligst kontakt oss. Vår arbeidsadvokater hjelper deg gjerne!