Gjennomføring av denne typen undersøkelser vil gjerne inngå som en del av HMS-arbeidet, hvor undersøkelsen er rettet mot virksomheten – ikke personen som besvarer spørsmålene. Vi skiller altså mellom arbeidsmiljøundersøkelser og undersøkelser som bærer preg av gransking av ansatte.
Denne artikkelen gjelder undersøkelsen rettet mot virksomheten. Datatilsynet har imidlertid sett eksempler på en del uheldig gjennomføring og bruk av medarbeiderundersøkelser, når disse har fokus på enkeltpersoner.
Hva skal undersøkes – hva er formålet?
Arbeidsgiver bør i forkant av undersøkelsen være bevisst på hva som er formålet med undersøkelsen.
Formålet skal være spesifikt og uttrykkelig angitt. Formålsangivelsen skal legge klare rammer for hvilke opplysninger som er nødvendige og relevante å samle inn, for eksempel i forbindelse med arbeidet med utarbeidelse av spørreskjema. Nærmere veiledning om gjennomføring av arbeidsmiljøundersøkelser gis av Arbeidstilsynet.
Er det nødvendig å behandle opplysningene?
Formålet med en arbeidsmiljøundersøkelse vil normalt kunne oppnås ved innsamling av anonyme opplysninger, og i så fall vil det i de fleste tilfeller heller ikke være tillatt å behandle personopplysninger.
Et vanlig problem er imidlertid at selv om undersøkelsen ikke inneholder direkte identifiserende opplysninger som navn, kan spørsmålene likevel være egnet til å identifisere arbeidstakeren. For eksempel kombinasjonen av opplysning om stilling, alder, kjønn, lønn og lignende nokså enkelt identifisere enkeltpersoner, og spesielt i små virksomheter. Et annet vanlig problem er bruk av åpne merknadsfelt. Dette medfører en økt fare for bakveisidentifisering, det vil si at arbeidsgiver gjennom svarene som gis kan identifisere arbeidstakeren.
Arbeidsgiver kan ta grep for at datasettet likevel er anonymisert. I den grad det ikke går utover formålet med undersøkelsen kan potensielt identifiserende opplysninger fjernes fra undersøkelsen. Et annet grep er grovkategorisering av identifiserende opplysninger.
Dersom undersøkelsen ikke reelt sett er anonym, må arbeidsgiver forholde seg til at reglene i personopplysningsretten gjelder for undersøkelsen. Videre i artikkelen vil vi komme mer inn på dette.
Krav til rettslig grunnlag
Ved all behandling av personopplysninger må man ha et behandlingsgrunnlag, det vil si at minst et av grunnlagene i personvernforordningen artikkel 6 nr. 1 være oppfylt. Dersom det behandles sensitive personopplysninger må det i tillegg foreligge et unntak fra forbudet mot behandling av slike opplysninger i artikkel 9 nr. 2.
Les om behandlingsgrunnlag
Ved de fleste behandlinger av personopplysninger på arbeidsplassen er utgangspunktet at rettsgrunnlaget ikke bør være de ansattes samtykke. Forholdet mellom arbeidsgiver og arbeidstaker tilsier normalt sett at kravet til frivillig samtykke ikke er oppfylt. En arbeidsmiljøundersøkelse skiller seg imidlertid fra andre typer behandlinger som kontrolltiltak, og samtykke kan være et aktuelt rettslig grunnlag. Dette forutsetter at samtykket er reelt frivillig. Det innebærer blant annet at det ikke må foreligge en reell eller potensiell risiko for at den ansatte lider skade hvis han eller hun avviser å gi sitt samtykke.
Uavhengig av hvilket rettslig grunnlag som gjøres gjeldende må behandlingen være i samsvar med personvernprinsippene i personvernforordningen. Dette innebærer blant annet krav til gjennomsiktighet, formålsbegrensning, dataminimering, proporsjonalitet, lagringsbegrensning og informasjonssikkerhet.
Les mer om personvernprinsippene
De ansatte skal informeres før undersøkelsen
De ansatte har rett på informasjon (se personvernforordningen artikkel 13). Det er viktig at de ansatte får god informasjon i forkant av undersøkelsen. Det skal blant annet informeres om hva som er formålet med undersøkelsen, om opplysningene vil bli utlevert, hvem som eventuelt er mottaker, om det er frivillig å delta i undersøkelsen og annet som gjør den ansatte i stand til å ivareta egne rettigheter over egne personopplysninger. De ansatte skal også få vite hvem som har tilgang til opplysningene, for eksempel nærmeste sjef eller HR-avdelingen.
Les mer om virksomhetens plikt til å gi informasjon
Rett til innsyn
Enhver ansatt har i utgangspunktet rett til innsyn i personopplysninger som behandles om han eller henne i undersøkelsen. I praksis dukker gjerne krav om innsynsrett opp ved undersøkelser som er knyttet nært opp til enkeltpersoner, og disse ønsker innsyn i hva andre ansatte har opplyst om dem.
Innsynsretten etter artikkel 15 gjelder med mindre det kan gjøres unntak etter personopplysningsloven § 16.
Les mer om retten til innsyn
I tillegg gjelder de øvrige rettighetene for de ansatte.
Undersøkelser som utføres av eksterne
Dersom arbeidsgiver setter ut gjennomføringen av undersøkelsen til en databehandler, må kravene i personvernforordningen artikkel 28 og 29 være oppfylt. Dette innebærer blant annet krav til databehandleravtale.