Er du leder eller jobber med HR, bør du se på rutiner rundt lagring og håndtering av personopplysninger om ansatte. Det kan f.eks. dreie seg om informasjon knyttet til:
Den nye loven sier at virksomheter ikke kan lagre personopplysninger uten et klart definert formål med lagringen. Ut fra formålet må virksomheten vurdere hva som er rimelig lagringstid. Ulike personopplysninger må lagres ulikt ut fra situasjonen, og av og til også ut fra det som er lovpålagt.
Hjemmelen for behandling og lagring kan være såkalt berettiget interesse. Det er en balansering av arbeidsgivers interesse i å oppbevare opplysningene, sett opp mot eventuelle ulemper for det enkelte individet. Din virksomhet må selv ta disse vurderingene, og dokumentere hvorfor berettiget interesse foreligger.
Vurderingen må blant annet ta utgangspunkt i GDPRs prinsipper om dataminimering. Det vil si at data som ikke lenger er nødvendig, skal slettes. Hver virksomhet plikter å dokumentere disse vurderingene, og de skal kunne fremvises både til den registrerte og til Datatilsynet. Deler av vurderingen kan likevel måtte unntas innsyn av hensyn til informasjonssikkerhet.
Mange lurer på hvordan de skal forholde seg til sletting og videre lagring i back-up. I den grad man har back-up-systemer som tillater selektiv sletting, må sletting også foretas i back-up. Dersom man har back-up som ikke tillater selektiv sletting, som f.eks. magnetisk tape, aksepteres det at man ikke sletter i back-up, men da må back-up oppbevares trygt, f.eks. i en safe.
Man kan ikke lenger unnta opplysninger fra innsyn ved å vise til at opplysningene kun er ment for intern saksforberedelse. De registrerte vil derfor ha rett til innsyn i en mengde opplysninger de ikke har innsyn i nå. Dette gjelder for eksempel:
Vi anbefaler at du går igjennom og reviderer interne rutiner. Ansatte bør “minnes på” at all informasjon må skrives saklig og etterrettelig, slik at informasjonen kan vises frem. I forhold til offentlig sektor gjøres det ingen endringer i bestemmelsene i Offentleglova.
Ustrukturerte personopplysninger er personopplysninger som finnes på mange steder. De kan være i ansattes e-postkasser, i PCer eller andre steder, noe som gjør håndtering og evt. sletting utfordrende. Det er i ferd med å bli utviklet programvare som kan “sniffe” seg frem til slike personopplysninger, noe som kan gjøre prosessen lettere. Ellers må man lage rutiner for de ansatte, slik at de med jevne mellomrom gjennomgår dataene de forvalter, og sletter alt som det ikke er nødvendig å beholde.
Virksomhetene må gi informasjon til de ansatte om hvordan deres personopplysninger behandles. Ofte kalles dette en personvernerklæring. Virksomheten din er forpliktet til å informere om hvor lenge personopplysningene lagres.
Dersom man skal beholde personopplysningene i lenger tid enn angitt i personvernerklæringen, krever dette en særskilt begrunnelse som skal foreligge før forlenget lagring iverksettes.
Virksomheter må selv dokumentere at de har tatt tilstrekkelig hensyn til personvernreglene. Det er svært viktig at virksomheten har den dokumentasjonen som er påkrevd. Dette er det første Datatilsynet vil se etter ved et eventuelt tilsyn.
Det er viktig med tilgangsstyring for all bruk av HR-data. Bare de medarbeidere som har arbeidsrelatert behov for å kunne ha tilgang til opplysningene, skal ha tilgang. Det er også viktig med gjennomgang og oppdatering av tilgangene ved endring av ansvar, oppgaver og når en medarbeider slutter.
Vi minner om at man også ute i butikker o.l. må ha trygg behandling (og makulering) av personopplysninger som mottas fysisk.
Hva kan skje hvis det nye regelverket ikke overholdes?
Datatilsynet har ansvar for tilsyn og kontroll i forbindelse med personvernregelverket. Nå når et nytt regelverk er på plass, vil datatilsynet påse at virksomhetene følger det nye regelverket. Den enkelte virksomhet skal ha gått igjennom alle forhold knyttet til personvern. De må dokumentere hva som har blitt gjort, og begrunne de valgene som er tatt.
Vi i HR Norge har utarbeidet en veileder som skal gjøre det enklere å tilpasse din virksomhet til det nye regelverket. Veilederen kan du bruke som en norm til etterlevelse. I tillegg kan du bruke den som en sjekkliste ved gjennomgang av egen virksomhet. Den leder deg gjennom de ulike punktene som du må ta stilling til, og gir deg anbefalinger og tips til hvordan du vurderer hva som er riktig for din virksomhet.
Nå får du tilgang til en revidert versjon av GDPR-veilederen!