Nå har GDPR trådt i kraft, og det er vedtatt en ny personopplysningslov. Har din virksomhet klart omstillingen til nye personvernregler? HR Norge har utarbeidet en veileder som gjør det enklere for din virksomhet å tilpasse rutinene til det nye regelverket.
Veilederen tar for seg ulike typer personopplysninger som er relevant for de aller fleste virksomheter, både for privat og offentlig sektor. Veilederen hjelper deg å få oversikt over hvilke data du trenger å ha kontroll på.
Er du leder eller jobber med HR og har behov for rutiner innen:
- Rekruttering av ansatte
- Innsyn i e-post
- Helseundersøkelse
- Rusmiddeltesting
- Arbeidsmiljøundersøkelser
- Håndtering av varsler
- Klager knyttet til arbeidsmiljøet
- Kameraovervåking
- Bruk av fødselsnummer
- Biometriske data
- Nettskytjenester
Da trenger du å dokumentere forhold knyttet til blant annet dette :
- Lagring av personopplysninger
- Sletting og lagring i back-up
- Håndtering av ustrukturerte personopplysninger
- Personvernerklæring
- Mottak av søknader “over disk”
- Tilgangsstyring
Innsynsretten for de registrerte i privat sektor utvides, og du må ta stilling til behov for forlenget lagring av personopplysninger.
Datatilsynets rolle
Datatilsynet har ansvar for tilsyn og kontroll rundt virksomhetenes håndhevelse av personvernregelverket. De har følgende tips til hva en virksomhet bør gjøre nå (kilde: Datatilsynet):
Ha en oversikt over hvilke personopplysninger dere behandler.
Alle virksomheter som samler inn eller bruker personopplysninger, skal ha oversikt over hvilke personopplysninger det er snakk om, hvor de kommer fra og hva som er det rettslige grunnlaget for behandlingen. Sørg for å ha en slik oversikt. Det er et krav som gjelder også etter dagens behov.
Sørg for å oppfylle dagens lovkrav.
Overgangen til de nye reglene blir lettere om dere etterlever kravene i personopplysningsloven som gjelder i Norge i dag. Har dere gode rutiner for internkontroll, som fungerer etter hensikten og er kjent i organisasjonen, er det lettere å få oversikt over hva dere må endre.
Sett dere inn i det nye regelverket.
Dere finner regelverket på Datatilsynets nettsider. Der finnes det også artikler om de nye reglene.
Lag rutiner for å følge de nye reglene.
Gå gjennom rutinene dere har for behandling av personopplysninger. Oppdater dem der det trengs. Dokumenter de nye rutinene, og legg en plan for nødvendige endringer. Er systemene deres laget for å ivareta kravet til innebygd personvern, dataportabilitet og personvern som standardinnstilling? Klarer dere å fange opp og besvare henvendelser fra borgerne innen en måned? Endringer i systemer og rutiner tar tid. Begynn allerede nå!
Hva kan skje hvis det nye regelverket ikke overholdes?
Datatilsynet har ansvar for tilsyn og kontroll rundt virksomhetenes håndhevelse av personvernregelverket. Nå når nytt regelverk er på plass, skal datatilsynet passe på at det nye regelverket følges. Derfor er det viktig for den enkelte virksomhet å ha gått igjennom alle forhold koblet til personvern, å kunne vise til dokumentasjon på hva som har blitt gjort, og å begrunne de valgene som er tatt.
Du kan få en veileder som hjelper deg med jobben
Veilederen kan du bruke som en sjekkliste ved gjennomgang av egen virksomhet. Den vil lede deg igjennom de ulike punktene som du uansett må ta stilling til, og gi deg anbefalinger og tips til hva du må tenke på for din virksomhet.
Du blir guidet gjennom følgende områder:
- rekruttering (f.eks. lagring av CVer og tester)
- informasjon om den ansatte (f.eks. lønnshistorikk, timelister, helseopplysninger og advarsler)
- informasjon om tidligere ansatte
Det er mange virksomheter, både store og små, som har hatt stor nytte av veilederen. Så enkelt kan det gjøres - her kan du registrere deg og få tilgang.
