Sammendrag

I denne artikkelen problematiserer vi hvordan pårørendeopplysninger ofte håndteres, og beskriver vanlige juridiske fallgruver når arbeidsgiver rutinemessig innhenter og behandler pårørendeopplysninger uten tilstrekkelig avklaringer av formål, nødvendighet eller behandlingsgrunnlag. Vi ser nærmere på hvordan slike situasjoner kan resultere i formålsutglidning og brudd på informasjonsplikten.

Vi drøfter hvilke behandlingsgrunnlag som er aktuelle og muligheten for at flere av personvernforordningens behandlingsgrunnlag kan anvendes, men til ulike formål. Vi gir nærmere eksempler på situasjoner som faller inn under de ulike behandlingsgrunnlagene.

Innledning

Mange arbeidsgivere ber ansatte om å oppgi «pårørende» som en del av den ordinære personaladministrasjonen. I denne artikkelen brukes «pårørendeinformasjon» som en samlebetegnelse for personopplysninger (typisk kontaktopplysninger) som arbeidsgiver behandler om ansattes pårørende/nærstående. Dette begrunnes ofte med at det kan være hensiktsmessig å ha kontaktinformasjon tilgjengelig dersom noe skulle skje. Praksisen kan likevel innebære at slike opplysninger samles inn rutinemessig, uten at nødvendighet, formål og behandlingsgrunnlag alltid vurderes og dokumenteres.

Personvernforordningen (GDPR) stiller krav til at innhenting og annen behandling av personopplysninger er nødvendig for et spesifikt formål. Den behandlingsansvarlige må kunne peke på behandlingsgrunnlag etter artikkel 6, og sikre at behandlingen skjer i tråd med personvernprinsippene i artikkel 5, herunder også ansvarlighetsprinsippet, jf. art. 5 nr. 2. Dette er særlig relevant når opplysningene gjelder tredjepersoner som ikke er part i arbeidsforholdet, og hvor informasjonsplikten etter artikkel 14 ofte vil stå sentralt.

Hva betyr egentlig «pårørende» i arbeidslivet?

Begrepet pårørende brukes i mange sammenhenger, men har ulikt innhold avhengig av kontekst. I helsesektoren er pårørenderollen i stor grad regulert, og nærmeste pårørende registreres ofte automatisk, for eksempel gjennom kjernejournal basert på opplysninger fra Folkeregisteret. I arbeidslivet finnes ingen tilsvarende definisjon eller automatikk, og «pårørende» er heller ikke et definert begrep i arbeidsmiljøloven. I enkelte arbeidsrettslige sammenhenger brukes i stedet begrepet «nærstående», se bl.a. arbeidsmiljøloven § 12-10 om Omsorg og pleie av nærstående.

I arbeidslivet må arbeidstaker selv oppgi hvem som skal anses som pårørende. For noen knyttes dette til hvem som er begunstiget i forsikringsordninger, som tjenestepensjon eller reiseforsikring. For andre handler det om hvem arbeidsgiver eventuelt kan kontakte ved en ulykke eller akutt hendelse på jobb. Enkelte oppgir familiemedlemmer, andre venner eller tidligere partnere. Denne variasjonen viser at begrepet pårørende ikke er entydig, og at arbeidsgiver ikke kan legge én forståelse til grunn uten videre. Det innebærer også at arbeidsgiver behandler personopplysninger om personer som ikke er ansatt, og at vurderingen må ta høyde for disse tredjepersonenes rettigheter etter GDPR.

Et sentralt utgangspunkt er at arbeidsgiver må definere hva som menes med «pårørende»/nærstående i virksomheten, hva opplysningene skal brukes til, og dokumentere formål, behandlingsgrunnlag og lagringstid etter GDPR.

Hva omfattes av pårørendeinformasjon?

Pårørendeinformasjon kan omfatte alt fra navn og telefonnummer til relasjon, adresse, e-post eller fødselsdato. I noen virksomheter lagres slike opplysninger i personalmappen, i HR-systemer eller som del av beredskapsplaner. Hvor informasjonen lagres og hvem som har tilgang, har betydning for formål, behandlingsgrunnlag, lagringsbegrensning og kravene til informasjonssikkerhet, jf. art. 5 nr. 1 bokstav e og f samt art. 32.

Det er også verdt å merke seg at kombinasjonen av navn og relasjon i enkelte tilfeller kan indirekte gi indikasjoner på særlige forhold, for eksempel seksuell orientering. I slike tilfeller må det vurderes om behandlingen omfattes av særlige kategorier personopplysninger etter GDPR artikkel 9, og om det foreligger et relevant unntak fra forbudet.

Det innebærer også at arbeidsgiver behandler personopplysninger om personer som ikke er ansatt, og at vurderingen må ta høyde for disse tredjepersonenes rettigheter etter GDPR.

Pårørendeinformasjon og personvernprinsippene

Flere av personvernforordningens grunnleggende prinsipper i artikkel 5 er særlig relevante i denne sammenhengen, herunder formålsbegrensning, dataminimering, riktighet, lagringsbegrensning og integritet/konfidensialitet.

Formålsbegrensning (art. 5 nr. 1 bokstav b)innebærer at opplysninger skal samles inn for spesifikke, uttrykkelig angitte og legitime formål, og ikke senere brukes på en måte som er uforenlig med disse. I praksis ser vi ofte at pårørendeinformasjon som er samlet inn for beredskap, senere tas i bruk til helt andre formål, som sosiale markeringer eller administrativ oppfølging. Dette kan være et eksempel på formålsutglidning, og illustrerer behovet for klare formålsbeskrivelser og tilgangsstyring.

Dataminimering (art. 5 nr. 1 bokstav c)innebærer at arbeidsgiver ikke skal samle inn flere opplysninger enn det som er nødvendig. Dersom formålet er å kunne kontakte noen ved en akutt hendelse, vil navn og telefonnummer som regel være tilstrekkelig. I praksis innhentes det likevel ofte mer detaljerte opplysninger enn det som er nødvendig.

Riktighet (art. 5 nr. 1 bokstav d)stiller krav om at opplysningene skal være korrekte og oppdaterte. I praksis oppdateres pårørendeinformasjon sjeldent. Etter samlivsbrudd eller endrede relasjoner kan feil person bli kontaktet, noe som både kan være belastende og rettslig problematisk, og som tilsier rutiner for periodisk oppdatering og retting, jf. art. 16.

Behandlingsgrunnlag, ingen enkel fasit

Valg av behandlingsgrunnlag for «pårørendeinformasjon» må knyttes til et konkret formål, og bør dokumenteres som del av virksomhetens ansvarlighet. At opplysningene gjelder tredjepersoner, kan påvirke både interesseavveining og informasjonsplikt.

Samtykke (art. 6 nr. 1 bokstav a)kan i noen tilfeller være aktuelt for frivillige ordninger der behandlingen ikke er nødvendig for arbeidsforholdet. Samtykke må være frivillig, informert og spesifikt, og kan trekkes tilbake. I arbeidsforhold kan frivillighet være krevende, jf. EDPB, Guidelines 05/2020 on consent under Regulation 2016/679, avsnitt 16 og 21, og ved opplysninger om en pårørende bør samtykke som hovedregel innhentes fra den registrerte.

Avtale (art. 6 nr. 1 bokstav b)kan være aktuelt der opplysningene er nødvendige for å oppfylle en avtale som arbeidstakeren er part i, for eksempel administrasjon av forsikrings- eller pensjonsordninger. Det må da vurderes hvilke opplysninger om tredjepersoner som faktisk er nødvendige for formålet.

Rettslig forpliktelse (art. 6 nr. 1 bokstav c)kan være relevant der særskilt lovgivning pålegger arbeidsgiver å innhente eller videreformidle bestemte opplysninger. Dette vil være situasjonsavhengig, og forutsetter at den aktuelle plikten kan identifiseres og dokumenteres.

Berettiget interesse (art. 6 nr. 1 bokstav f)brukes ofte som behandlingsgrunnlag for pårørendeinformasjon knyttet til beredskap. Bruk av art. 6 nr. 1 bokstav f), forutsetter en konkret og dokumentert interesseavveining (formål, nødvendighet og avveiing). At opplysningene gjelder tredjepersoner som ikke er part i arbeidsforholdet, tilsier særlig vekt på informasjon, jf. art. 14, begrenset tilgang og kort lagringstid.

Uavhengig av om behandlingsgrunnlaget er samtykke etter art. 6 nr. 1 bokstav a eller berettiget interesse etter art. 6 nr. 1 bokstav f, må arbeidsgiver fortsatt oppfylle informasjonsplikten etter GDPR, jf. art. 13 og 14. Ved opplysninger om pårørende/nærstående vil art. 14 ofte være særlig relevant, fordi opplysningene typisk innhentes via arbeidstaker og ikke direkte fra den registrerte. Vår erfaring er at arbeidsgivere sjelden har system for å informere de pårørende om at de står oppført i virksomhetens HR-system.

Dersom en pårørende benytter retten til å protestere etter art. 21, må arbeidsgiver stanse behandlingen med mindre virksomheten kan påvise tvingende berettigede grunner som går foran den registrertes interesser, rettigheter og friheter.

Ulykker, akutte hendelser og nødetatenes rolle

Ved alvorlige hendelser der arbeidstakeren ikke selv kan oppgi hvem som skal kontaktes, vil det ofte være nødetatene som har ansvaret for varsling av pårørende. Nødetatene har egne rutiner og tilgang til relevante registre, og er normalt de som sitter med oppdatert informasjon om situasjonen.

Etter vårt syn bidrar manglende rolleavklaring mellom arbeidsgiver og nødetater til at virksomheter overvurderer eget ansvar for varsling, og dermed også behovet for å lagre pårørendeinformasjon. Dersom arbeidsgiver likevel ønsker å kunne kontakte pårørende, må dette avklares tydelig på forhånd, og pårørende må informeres om at arbeidsgiver ikke nødvendigvis har løpende eller korrekt situasjonsinformasjon.

Når det ikke er riktig å kontakte pårørende

Det finnes også situasjoner der det å kontakte pårørende kan være direkte problematisk. Dersom en arbeidstaker uteblir fra jobb uten å gi beskjed, kan fraværet skyldes helsemessige forhold som arbeidsgiver ikke har rett til å dele. I ytterste konsekvens kan pårørende selv være årsaken til fraværet.

I slike situasjoner vil kontakt med pårørende kunne innebære brudd på taushetsplikt eller indirekte avsløring av helseopplysninger. Dersom arbeidsgiver er bekymret for arbeidstakerens sikkerhet, vil det ofte være mer riktig å kontakte nødetater, som politiet, enn å ringe pårørende.

Avslutning

Spørsmålet om pårørendeinformasjon i arbeidslivet kan ikke reduseres til et teknisk valg av behandlingsgrunnlag. Det krever en bevisst vurdering av formål, rolleforståelse, informasjonsplikt og ansvar. I praksis varierer virksomheters rutiner, og det er ikke uvanlig at vurderingene ikke er tilstrekkelig dokumentert, til tross for at konsekvensene for både ansatte og pårørende kan være betydelige.

En praksis i tråd med personvernregelverket forutsetter at virksomheter faktisk stiller de grunnleggende spørsmålene: Trenger vi disse opplysningene? Til hvilket formål? Hvilket behandlingsgrunnlag, jf. art. 6 og 9? Hvordan oppfyller vi informasjonsplikten etter art. 13 og 14 og rettighetene til den registrerte, jf. art. 15–21? Hvem har tilgang, hvor lenge lagres opplysningene, og når slettes de?

Oppsummert mener vi at arbeidsgivere bør gjennomgå dagens praksis på nytt, og vurdere om behandling av pårørendeinformasjon er i tråd med personvernforordningens krav til formål, nødvendighet og ansvarlighet.