Oppbevaring av lønnsbilag og hensynet til personvern

Oppbevaring av lønnsbilag og hensynet til personvern

En virksomhet som oppbevarer bilag eller dokumenter med personopplysninger må forholde seg til både bokføringsloven og personvernreglene. Vi i Simployer får mange spørsmål fra våre kunder om hvordan disse to regelsettene skal vurderes.

     

Hva er en personopplysning?

Personvern handler om retten til privatliv og retten til å bestemme over egne personopplysninger.

En personopplysning er enhver opplysning om en identifisert eller identifiserbar person, som for eksempel navn, adresse, bilder, fingeravtrykk og fødselsnummer. Noen personopplysninger regnes som sensitive. Dette gjelder blant annet opplysninger om rasemessig eller etnisk bakgrunn, politisk, filosofisk eller religiøs oppfatning, og helseforhold.

Dersom det gjøres noe med personopplysningene, for eksempel lagring eller utlevering til andre, er det en «behandling» av personopplysninger, som krever behandlingsgrunnlag.

Når en virksomhet har hentet inn personopplysninger om ansatte for et bestemt formål, kan ikke opplysningene brukes til andre formål, med mindre det foreligger samtykke fra arbeidstaker, hjemmel i lov eller der det opprinnelige og det nye formålet anses som forenlige.

Regler om personopplysningsvern finner vi i personopplysningsloven. EU har vedtatt en ny personvernforordning, og personopplysningsloven i Norge ble endret med virkning fra 25. mai 2018.

Personvernforordningen artikkel 6 bokstav c fastslår at behandlingen av personopplysninger er lovlig blant annet dersom behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige (virksomheten).

Med rettslige forpliktelser menes her plikt man typisk har som følge av lov eller forskrift. Et praktisk eksempel er plikten etter bokføringsloven til å oppbevare regnskapsmateriale. Så lenge den behandlingsansvarlige har plikt til å oppbevare regnskapsmaterialet i form av for eksempel dokumentasjon på bokførte opplysninger, vil han også ha behandlingsgrunnlag for eventuelle personopplysninger etter personvernforordningen.

Andre praktiske eksempler er dokumentasjon på oppfølging av sykefravær etter folketrygdloven og HMS-dokumentasjon etter arbeidsmiljøloven.

Når en virksomhet oppbevarer lønnsbilag og andre lønnsrelaterte dokumenter vil derfor personvernreglene være et viktig bakteppe.

Minstekrav til oppbevaring i bokføringsloven – «maksimumskrav» i personopplysningsloven

Vi kan dele opp oppbevaringspliktig materiale vedr. lønn i tre kategorier:

1) Oppbevaring av regnskapsmateriale, jf. bokføringsloven § 13:

  • primærdokumentasjon, oppbevaringsplikt 5 år
    • regnskapsbilag, dokumentasjon av balansen, reiseregninger, lønnsspesifikasjon
    • sykmeldinger, inntektsskjema, oppgjørsliste K27
  • sekundærdokumentasjon, oppbevaringsplikt 3,5 år
    • avtaler, kontrakter, vesentlig korrespondanse mv.
    • dette inkl. ansettelseskontrakter, bonusavtaler og timelister for timelønnede

Verdt å nevne er at materiale tilknyttet prosjektregnskap i bygg- og anleggsbransjen skal oppbevares i 10 år. Dette vil gjelde alle lønnsbilag, også timelister for timelønnede.

2) Oppbevaring av personrelaterte dokumenter, jf. personopplysningsloven

  • typiske "personalmappedokumenter"
    • referater fra medarbeidersamtaler, søknader, cv, permisjonspapirer o.l.

Arbeidsgiver skal ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med bruken av opplysningene. Dette innebærer at arbeidsgiver må ha rutiner for gjennomgang av lagret informasjon. Arbeidsgiver må vurdere hvor ofte det er behov for en slik gjennomgang.

3) Elektronisk tilgjengelighet, jf. bokføringsloven § 13 b:

Det er krav om å ha elektroniske systemer tilgjengelig i 3,5 år, dette inkl. lønns- og regnskapssystem.

Bokføringsloven § 13 b krever at bokførte opplysninger som i utgangspunktet er tilgjengelig elektronisk, skal være tilgjengelig elektronisk i 3,5 år etter regnskapsårets slutt. Med elektronisk tilgjengelig menes at de bokførte opplysningene er tilgjengelig i regnskapssystemet eller lagret på annen måte.

Hva betyr dette for hvordan vi som arbeidsgiver skal vurdere oppbevaringen?

Siden bokføringsloven er et behandlingsgrunnlag for personopplysninger betyr det at dere som arbeidsgiver både kan og skal behandle (les: oppbevare) personopplysningen så lenge loven tilsier. Når denne perioden er over må dere ha et annet behandlingsgrunnlag enn bokføringsloven for å kunne oppbevare dokumentet eller bilaget lenger.

Det behandlingsgrunnlaget dere da vanligvis kan ha, er berettiget interesse, noe som kan være vanskelig å vurdere. Første steg i denne vurderingen er å identifisere formålet. Dere må se på hvorfor dere ønsker å oppbevare opplysningene lenger enn bokføringsloven krever og hva de skal brukes til.

Ta ansettelseskontrakten som et eksempel. Den skal oppbevares i 3,5 år etter det inntektsår den ansatte sluttet i virksomheten, jf. bokføringsloven § 13. Når denne perioden er over må dere vurdere om dere har et godt nok formål for å oppbevare denne lenger, og da må dere blant annet kunne argumentere med at det er nødvendig for driften at slike kontrakter oppbevares.

Enkelt oppsummert kan vi si at bokføringsloven stiller konkrete krav til minimumstid for oppbevaring, og at personvernreglene stiller større krav til individuelle vurderinger per virksomhet for å konkludere med maksimumstid for oppbevaring.

Jobber du med lønn? I Faghjelp Lønn finner du grundige svar på spørsmål rundt trekk- og skatteplikt, arbeidsgiveravgift og innrapportering av ytelser fra arbeidsgiver til arbeidstaker



Gratis plansje: Formkrav til reiseregningen