Blogg

GDPR har trådt i kraft – har din virksomhet gjort det som trengs?

Skrevet av HR Norge | 27.mar.2019 09:01:21

 

Nye personvernregler gjør at ledere og HR-ansvarlige må vurdere rutiner knyttet til håndtering av personopplysninger. Her får du noen tips til hvordan din virksomhet sikrer at den oppfyller alle kravene.

Som følge av GDPR, den nye personvernforordningen til EU, har Norge fått en ny personopplysningslov i 2018. Den nye loven regulerer hvordan virksomheter kan samle inn og bruke personopplysninger. I tillegg gir den privatpersoner en rekke nye rettigheter.

 

Har din virksomhet klart omstillingen til nytt personvernregelverk?

Er du leder eller jobber med HR, bør du se på rutiner rundt lagring og håndtering av personopplysninger om ansatte. Det kan f.eks. dreie seg om informasjon knyttet til:

  • rekruttering
  • innsyn i e-post
  • helseundersøkelse
  • rusmiddeltesting
  • arbeidsmiljøundersøkelse
  • håndtering av varslinger og klager knyttet til arbeidsmiljøet
  • kameraovervåking
  • bruk av fødselsnummer
  • biometriske data
  • nettskytjenester

Lagring av ulike personopplysninger

Den nye loven sier at virksomheter ikke kan lagre personopplysninger uten et klart definert formål med lagringen. Ut fra formålet må virksomheten vurdere hva som er rimelig lagringstid. Ulike personopplysninger må lagres ulikt ut fra situasjonen, og av og til også ut fra det som er lovpålagt.

Hjemmelen for behandling og lagring kan være såkalt berettiget interesse. Det er en balansering av arbeidsgivers interesse i å oppbevare opplysningene, sett opp mot eventuelle ulemper for det enkelte individet. Din virksomhet må selv ta disse vurderingene, og dokumentere hvorfor berettiget interesse foreligger.

Vurderingen må blant annet ta utgangspunkt i GDPRs prinsipper om dataminimering. Det vil si at data som ikke lenger er nødvendig, skal slettes. Hver virksomhet plikter å dokumentere disse vurderingene, og de skal kunne fremvises både til den registrerte og til Datatilsynet. Deler av vurderingen kan likevel måtte unntas innsyn av hensyn til informasjonssikkerhet.

Sletting og videre lagring i back-up

Mange lurer på hvordan de skal forholde seg til sletting og videre lagring i back-up. I den grad man har back-up-systemer som tillater selektiv sletting, må sletting også foretas i back-up. Dersom man har back-up som ikke tillater selektiv sletting, som f.eks. magnetisk tape, aksepteres det at man ikke sletter i back-up, men da må back-up oppbevares trygt, f.eks. i en safe.

Innsynsretten for de registrerte i privat sektor utvides.

Man kan ikke lenger unnta opplysninger fra innsyn ved å vise til at opplysningene kun er ment for intern saksforberedelse. De registrerte vil derfor ha rett til innsyn i en mengde opplysninger de ikke har innsyn i nå. Dette gjelder for eksempel:

  • Interne vurderinger av den ansatte
  • Grunnlag for bonusberegninger
  • Referat fra referansesamtaler

Vi anbefaler at du går igjennom og reviderer interne rutiner. Ansatte bør “minnes på” at all informasjon må skrives saklig og etterrettelig, slik at informasjonen kan vises frem. I forhold til offentlig sektor gjøres det ingen endringer i bestemmelsene i Offentleglova.

Håndtering av såkalte “ustrukturerte personopplysninger”

Ustrukturerte personopplysninger er personopplysninger som finnes på mange steder. De kan være i ansattes e-postkasser, i PCer eller andre steder, noe som gjør håndtering og evt. sletting utfordrende. Det er i ferd med å bli utviklet programvare som kan “sniffe” seg frem til slike personopplysninger, noe som kan gjøre prosessen lettere. Ellers må man lage rutiner for de ansatte, slik at de med jevne mellomrom gjennomgår dataene de forvalter, og sletter alt som det ikke er nødvendig å beholde.

Personvernerklæring

Virksomhetene må gi informasjon til de ansatte om hvordan deres personopplysninger behandles. Ofte kalles dette en personvernerklæring. Virksomheten din er forpliktet til å informere om hvor lenge personopplysningene lagres.

Behov for forlenget lagring av personopplysninger

Dersom man skal beholde personopplysningene i lenger tid enn angitt i personvernerklæringen, krever dette en særskilt begrunnelse som skal foreligge før forlenget lagring iverksettes.

Med GDPR forsvinner den gamle melde- og konsesjonsplikten

Virksomheter må selv dokumentere at de har tatt tilstrekkelig hensyn til personvernreglene. Det er svært viktig at virksomheten har den dokumentasjonen som er påkrevd. Dette er det første Datatilsynet vil se etter ved et eventuelt tilsyn.

Tilgangsstyring

Det er viktig med tilgangsstyring for all bruk av HR-data. Bare de medarbeidere som har arbeidsrelatert behov for å kunne ha tilgang til opplysningene, skal ha tilgang. Det er også viktig med gjennomgang og oppdatering av tilgangene ved endring av ansvar, oppgaver og når en medarbeider slutter.

Mottak av søknader “over disk”

Vi minner om at man også ute i butikker o.l. må ha trygg behandling (og makulering) av personopplysninger som mottas fysisk.

Hva kan skje hvis det nye regelverket ikke overholdes?

Datatilsynet har ansvar for tilsyn og kontroll i forbindelse med personvernregelverket. Nå når et nytt regelverk er på plass, vil datatilsynet påse at virksomhetene følger det nye regelverket. Den enkelte virksomhet skal ha gått igjennom alle forhold knyttet til personvern. De må dokumentere hva som har blitt gjort, og begrunne de valgene som er tatt.

Du kan få en veileder som letter arbeidet!

Vi i HR Norge har utarbeidet en veileder som skal gjøre det enklere å tilpasse din virksomhet til det nye regelverket. Veilederen kan du bruke som en norm til etterlevelse. I tillegg kan du bruke den som en sjekkliste ved gjennomgang av egen virksomhet. Den leder deg gjennom de ulike punktene som du må ta stilling til, og gir deg anbefalinger og tips til hvordan du vurderer hva som er riktig for din virksomhet.

Nå får du tilgang til en revidert versjon av GDPR-veilederen!