Hva skal undersøkes?
Gjennomføring av slike undersøkelser vil gjerne inngå som en del av HMS-arbeidet, hvor undersøkelsen er rettet mot virksomheten – ikke personen som besvarer spørsmålene. Datatilsynet har sett eksempler på en del uheldig gjennomføring og bruk av medarbeiderundersøkelser, når disse for eksempel knyttes for nært opp til den enkelte ansatte.
Er personidentifiserende opplysninger nødvendig?
Ofte vil det ikke være nødvendig med personidentifiserende opplysninger i en virksomhetsundersøkelse. Datatilsynet oppfordrer da virksomheten til å gjennomføre undersøkelsen anonymt. Dette stiller krav til hvordan undersøkelsen blir gjennomført og hvilke spørsmål som stilles. Et vanlig problem er at undersøkelsen inneholder spørsmål som kan oppfordre arbeidstaker til å oppgi sensitive personopplysninger, jf. § 2 nr. 8. Dette kan for eksempel være opplysninger om helseforhold.
Bruk av åpne merknadsfelt
Et vanlig problem er bruk av åpne merknadsfelt. Dette medfører en økt fare for innhenting av overskuddsinformasjon og bakveisidentifisering, det vil si at arbeidstager gjennom svarene som gis kan identifisere arbeidstakeren. Bruk av personidentifiserende opplysninger, og fare for bakveisidentifisering, vil kunne være problematisk ut fra kravene i personopplysningsloven.
Ansatte skal samtykke til behandling av personopplysninger
Når det gjennomføres undersøkelser som behandler personopplysninger vil disse som regel baseres på et samtykke fra de ansatte. Et samtykke skal være frivillig, uttrykkelig og informert.
Arbeidsgiver skal sørge for at personopplysningene som behandles bare brukes til uttrykkelige angitte formål som skal være saklig begrunnet i virksomheten, og at opplysningene ikke brukes til andre eller uforenelige formål, med mindre den ansatte samtykker til dette. Opplysningene skal være tilstrekkelige og relevante og ikke lagres lenger enn det som er nødvendig for å gjennomføre formålet med undersøkelsen.
De ansatte skal informeres før undersøkelsen
Det er viktig at de ansatte får god informasjon i forkant av undersøkelsen. Det skal blant annet informeres om hva som er formålet med undersøkelsen, om opplysningene vil bli utlevert, hvem som eventuelt er mottaker, om det er frivillig å gi fra seg opplysningene og annet som gjør den ansatte i stand til å ivareta egne rettigheter over egne personopplysninger. De ansatte skal også få vite hvem som har tilgang til opplysningene, for eksempel nærmeste sjef eller HR-avdelingen.
Undersøkelser som utføres av eksterne
Dersom arbeidsgiver setter ut gjennomføringen av undersøkelsen til en annen part, vil denne fungere som en databehandler for arbeidsgiver. Det skal da tegnes en databehandleravtale som regulerer hvordan personopplysninger skal håndteres, jf. § 15.
Har du konsesjons eller meldeplikt til Datatilsynet?
Dersom undersøkelsen ikke behandler personopplysninger er den ikke konsesjons- eller meldepliktig. Undersøkelser der det samles inn sensitive personopplysninger eller store mengder personopplysninger kan derimot være underlagt konsesjons- eller meldeplikt. Det er undersøkelsens utforming og omfanget som avgjør om den er unntatt konsesjons- og/eller meldeplikt i personopplysningsforskriften § 7-16.
Informasjonssikkerhet
Krav til informasjonssikkerhet, det vil si at arbeidsgiver sikrer håndtering, overføring og lagring av data, fremgår av personopplysningsloven § 13 jf. personopplysningsforskriften kapittel 2.