Utfylte dokumenter lagres i høgskolens arkivsystemet. Den ansatte og leder bekrefter innholdet ved gjennomlesning og undertegning. Den ansatte skal ha en kopi av det utfylte skjemaet.
Utfylling av dokumentene og lagring av disse er å anse som behandling av personopplysninger, jf. bl.a. personvernforordningen artikkel 4. Dokumentene åpner opp for behandling av særlige kategorier av personopplysninger, jf. Personvernforordningen artikkel 9.
Nærværende vurdering er å anse som en rådføring i saken fra PVO, jf. Personopplysningsloven § 9 annet ledd.
1. Konklusjon
Etter PVO sitt beste faglige skjønn oppfyller behandlingen som ønskes iverksatt de krav og plikter som følger av personopplysningsloven og personvernforordningen.
Behandlingen fordrer ikke råd om iverksettelse av tiltak fra PVO.
2. Rettslig grunnlag
Behandlingen er hjemlet i personopplysningsloven § 6, og har således tilstrekkelig hjemmel i lov.
3. Behandlingens art
Opplysningene skal samles inn av arbeidstakers nærmeste leder eller annen med personalansvar for arbeidstaker. Opplysningene skal lagres i høgskolens arkivsystem. Opplysningene skal brukes i oppfølgingssamtaler med arbeidstaker, samt i arbeidsgiver saksbehandling og utførelse av personaloppfølging av arbeidstaker.
Opplysningene er tilgjengelig for dem som har tjenestemessig behov for å gjøre seg kjent med opplysningene, herunder den eller de med personalansvar overfor arbeidstaker.
Opplysningene skal samles inn om arbeidstakers forhold som er tilknyttet vedkommende sin utførelse av sine rettigheter og plikter som arbeidstaker ved HiØ. Det kan således bli lagret opplysninger om vedkommende arbeidstaker, samt dennes nærmeste familie, behandlere eller andre som arbeidstaker selv mener har relevans til dennes utførelse av arbeidet ved HiØ.
Behandlingen benytter HiØ’s systemer og rutiner for IKT-sikkerhet og software tjenester.
4. Behandlingens omfang
I skjemaet kan det lagres opplysninger om arbeidstakers;
- Tilpasning til arbeidet
- Faglig dyktighet
- Pålitelighet
- Veiledning og opplæring
- Andre forhold som kan påvirke arbeidssituasjonen
Innunder kategoriene er det klart nok at temaet «Andre forhold» kan innebære en rekke opplysninger av forskjellig art som kan være relevant for arbeidstakers forhold ved sitt arbeidsforhold til HiØ. HiØ må foreta utvalg av opplysningene opp mot formålet, jf. prinsippet om dataminimering
Utover lagring av personopplysninger som den ansattes
- navn
- organisasjonsenhet
- leder
- prøvetidens varighet
vil det kunne lagres en rekke andre personopplysninger og særlige kategorier av personopplysninger. Mest relevant vil være helseopplysninger, religiøs overbevisning, fagforeningsmedlemskap eller andre opplysninger som bør anses som særlige kategorier av personopplysninger, herunder økonomiske og sosiale forhold.
Slik PVO forstår det vil oppfølgingen av nyansatte gjelde alle nyansatte ved HiØ. Det vil i omfang genereres tre selvstendige dokument per ansatt i prøvetidsperioden (6 mnd.).
Lagringstiden antas å være permanent så lenge arbeidstaker har et ansettelsesforhold ved HiØ.
5. Formål
Formålet med behandlingen er opplyst å være oppfølging av nyansatte. Overordnet gjelder dette å kunne oppfylle arbeidsgivers rettigheter og plikter overfor sine ansatte i vid forstand, samtidig som å dokumentere for arbeidsgiver, arbeidstaker, fagforeninger og andre om ivaretakelse av arbeidsmiljø, utvikling og kompetanse av arbeidstakere ved HiØ mv..
Det være seg blant annet både å sørge for faglig og sosial tilpasning til arbeidet innunder prøvetiden, avklare og målrette behov for tilpasning for arbeidstaker og berede grunnlaget for eventuelle arbeidsrettslige beføyelser mot arbeidstaker (herunder sanksjoner som advarsel, oppsigelse og avskjed).
Behandlingen har potensiale til å fungere som grunnlag for arbeidstakers rettigheter og plikter som arbeidstaker, og således er personvernkonsekvensene potensielt store.
6. Hvilken sammenheng utføres behandlingen i
Behandlingen skjer i et klassisk asymmetrisk maktforhold mellom arbeidstaker og arbeidsgiver, og spesielt med hensyn til at behandlingen skjer i prøvetiden hvor tilpasning til arbeidsoppgavene for arbeidstaker kan være bestemmende for fortsatt tilsetning. Imidlertid er behandlingen klart nødvendig og oppfyller klare behov og plikter hos arbeidsgiver.
Den registrerte har kontroll på de opplysninger som gis, idet de kommer direkte fra arbeidstaker. Fokuset for opplysningene er hvordan arbeidstaker oppfyller sine plikter i tilknytning til sine arbeidsoppgaver, og hvordan disse kan utvikles i positiv retning gjennom fokus eller tiltak fra arbeidsgivers side. Arbeidstaker kan forvente en slik oppfølging av fra arbeidsgiver.
Opplysningene som vil behandles er sedvanlige for arbeidsgiver å behandle, og vil således ikke representere noe nytt eller stille særlige utfordringer til arbeidsgiver. Det som eventuelt er nytt er at opplysningene systematiseres ved bruk av skjemaene. Opplysningene er i sin alminnelighet strengt relevante for utøvelse av arbeidsrettslige forpliktelser.
Opplysningene kan kobles opp til andre registre hos arbeidsgiver.
7. Oversikt over mottakere, dataflyt og lagring
Lagringen skjer i medhold av rutiner og regelverk slik de fremgår av aktuelt lovverk, lokale rutiner og personverklæringen til HiØ. Det anses som lite formålstjenelig å gjennomgå disse i detalj her.
8. Tre-ledds testen
Ved behandlingen av personopplysninger, som i dette tilfellet også kan være særlig kategori av personopplysninger, må HiØ foreta en nødvendighets- og proporsjonalitetsvurdering av behandlingen.
EU-domstolen har, innenfor lovområder som gjelder inngrep i enkeltpersoner integritetssfære, utviklet en treleddstest, som for øvrig er tilsvarende vurderingen som følger av blant annet EMK artikkel 8 mv.
Treleddstesten tar på personvernområdet utgangspunkt i personvernprinsippene, jf. Personvernforordningen artikkel 5.
HiØ må foreta
- Formålstesten - er det legitim interesse bak behandlingen?
- Nødvendighetstesten - det behandlingen nødvendig for å oppnå formålet?
- Balansetesten - veier interessene til behandlingsansvarlig tyngre enn interessene til den registrerte?
for at behandlingen kan være lovlig.
Nedenfor sammenstilles det HiØ har opplyst PVO.
Er behandlingen og dens formål basert på lovlighet, rettferdighet og åpenhet?
Hjemmel er personopplysningsloven § 6. Det er en presumsjon om at behandlingen gjøres med berettiget og lovmessig interesse.
Behandlingen er rettferdig hensyntatt de tungtveiende fordeler som gjør seg gjeldende for arbeidsgiver og arbeidstaker. Det vises her til det som allerede er nevnt, men spesielt faglig og personlig utvikling hos arbeidstaker og behov for tilrettelegging og eventuelle beføyelser fra arbeidsgiver.
Åpenhet ivaretas ved at arbeidstaker nyter fulle rettigheter til innsyn, krav om retting, kontradiksjon, og begrensninger i behandlingen overfor hvem som har tjenestemessig behov for å gjøre seg kjent med opplysningene.
Formålsbegrensning?
Behandlingen er begrenset til saklige formål og er nødvendig for oppfyllelse av arbeidsrettslige rettigheter og plikter.
Dataminimering
Formålet synes å være uoppnåelige uten innhentning og lagring som beskrevet.
Riktighet
Det er en forutsetning at arbeidstaker gir korrekt og rett informasjon. Det vises også til arbeidstakers lojalitetsplikt i arbeidsforhold. Opplysningene kan korrigeres ved arbeidstakers involvering, så fremt det vurderes som nødvendig. Arbeidstaker vil ha behov for å utøve kontradiksjon, og det bør etableres rutiner for gjennomlesning og godkjenning fra arbeidstaker.
Lagring
Det er opplyst at de alminnelige rutiner for lagring følges, og det foreligger ingen særlig risiko eller annet forbundet med denne behandlingen utover det som er beskrevet i HiØ sine kvalitetssikringsrutiner mv.
Lagring av opplysningene skjer så lenge den ansatte er ansatt, og skal ikke anonymiseres.
Rettigheter
Det vises til ovennevnte.
Risiko ved behandlingen
Det foreligger ingen særlig risiko ved behandlingen ved denne behandlingen som skiller seg ut fra de alminnelige risiki som følger av arbeidsrettslige forhold.
Sikkerheten for lagring av opplysningene er beskrevet i tilstøtende dokumenter og følger disse.
Oppsummert
Behandlingen synes å ha et klart, begrenset og legitimt formål. Behandlingen er nødvendig for å oppnå dette formålet, og hensynet til arbeidsgiver for å utføre behandlingen veier klart tyngre enn eventuelle rettigheter hos arbeidstaker som taler eventuelt mot en slik behandling.
9. Råd fra PVO
Behandlingen fordrer ikke råd om iverksettelse av tiltak fra PVO.
Se fullstendig versjon av personverombudets vurdering av personvernskonsekvenser i dokument 19/00508-1