Tilbake til GDPR

GDPR og hvordan vi bør forholde oss til det

Hvordan bedrifter behandler personopplysninger til egne ansatte og alle andre man har lagret opplysninger om har lenge vært lovregulert i Norge. Kjernen i personvernprinsippene er at alle har rett til å bestemme over opplysninger om seg selv.

I mai 2018 trer EUs personvernforordning i kraft. På folkemunne kalles den bare GDPR som følge av den engelske forkortelsen (General Data Protection Regulation) og har sendt en lett nervøsitet gjennom alle som omfattes. Og det er i grunn alle som behandler personopplysninger. Forordningen skal etter planen gjøres til norsk lov den 25 mai, med eventuelle tillegg. Som hovedregel vil man være godt rustet til å etterleve nytt regelverk hvis man allerede har et bevisst forhold til personvern og kontroll på hvordan bedriften følger dagens personvernlovgivning. Da dreier det seg først og fremst om en oppgradering av dagens rutiner som også fokuserer på forebygging og dokumentering av disse rutinene. I tillegg dreier det seg mye om sunn fornuft. Heldigvis.

Sannheten er i midlertidig at svært mange har til gode å følge dagens regelverk. En viktig motivasjon for å nå ta grep er sanksjonene som følger med det nye regelverket. Man kan risikere høye bøter, men kanskje enda viktigere er bedriftenes omdømme. Det er en økt bevissthet i samfunnet om retten til å bestemme over opplysninger om seg selv. I tillegg; et godt personvern er til enkeltpersoners beste. Det gjelder våre ansatte, våre kunder, og oss selv. Hadde du likt om den gamle jobbsøknaden din lå på felles serveren, eller om private opplysninger fra medarbeidersamtaler var tilgjengelig for flere enn de som trengte dem? Hvordan behandler vi opplysninger, og hvem gir vi det videre til? Har vi riktige opplysninger, og er de sikret godt nok? Innføringen av EUs personvernforordning og nytt regelverk er dermed også en glimrende anledning til å ta en ryddesjau i eget hus.

Ansattes personopplysninger

I denne artikkelen om GDPR tar vi utgangspunkt i personopplysninger om ansatte og kobler behandlingen av disse på de overordnede personvernprinsippene.

Først kan det være relevant å reflektere litt over hva som faktisk regnes som personopplysninger når det gjelder ansatte. I grove trekk dreier det seg om alle opplysninger eller vurderinger som kan knyttes til en konkret identifisert eller identifiserbar person. Dette kan for eksempel være bilde, adresse eller IP-adresse. Men det vil også dreie seg om andre opplysninger som fagforeningsmedlemskap, sykdomshistorikk og adferdsmønstre. Informasjon om ansattes passeringer gjennom inngangsdøren, eller bruk av systemer som kan brytes ned på navn regnes også som personopplysninger. Noen opplysninger regnes som særlig sensitive, og krever enda mer aktsomhet.

De overordnede personvernprinsippene er en viktig rettesnor i alt personvernarbeid. Det gjelder selvfølgelig også for de ansattes personopplysninger. Det er disse prinsippene forordningen bygger på, og det kan derfor være et greit utgangspunkt å ha kontroll på disse:

Prinsipp 1: Opplysningene skal behandles på en lovlig, rettferdig og gjennomsiktig måte.

Det vil si at det må være et lovlig grunnlag for å samle inn og behandle opplysningene. Når det gjelder ansatte vil dette ofte dreie seg om samtykke. Men her er det viktig å merke seg at man må ha et bevisst forhold til hva som ligger innenfor og utenfor samtykket. Selv om man har samtykket til å ha et bilde på adgangskortet sitt fordi det er en nødvendig del av sikkerheten, betyr ikke det at det samme bildet også kan ligge på nettsidene sånn uten videre.

Med rettferdig behandling menes det at man skal respektere interessene og de rimelige forventningene til den ansatte når det gjelder behandling av personopplysninger. Gjennomsiktig betyr at det også må være forståelig, oversiktlig og forutsigbart. Man skal med andre ord skjønne hva man sier ja til, og hvordan opplysningen blir brukt.

Prinsipp 2: Formålsbegrensning – hvorfor skal du ha disse opplysningene?

Alle opplysninger som samles inn må ha et formål. Det er ikke mulig å samle inn personopplysninger «i tilfelle man trenger det». Videre så må personopplysninger kun behandles for spesifikke, uttrykkelige, angitte og legitime formål. Det betyr at man skal identifisere og beskrive et hvert formål med behandlingen av personopplysningene. Trenger man kontonummer så skal det forklares hvorfor. En naturlig forklaring vil være at det er nødvendig for å kjøre lønn for regnskapsavdelingen. Men det er heller ikke nødvendig at andre enn regnskapsavdelingen har tilgang på kontonummeret. Derfor bør det også være rutiner for hvordan kontonummeret behandles etter det er samlet inn.

Videre kan man selvfølgelig ikke samle inn personopplysninger til et formål, og deretter også bruke det til et annet. Da må man tilbake og hente inn et nytt samtykke.

Prinsipp 3: Dataminimering. Ikke samle inn mer data enn det du trenger.

Har du tenkt på nødvendigheten av opplysningene som samles inn? Opplysningene skal være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for. Dersom opplysningene ikke er nødvendig for å oppnå formålet, så skal du ikke samle dem inn. For eksempel vil uførlige notater om den ansattes fullstendige helsetilstand ikke være nødvendig for et formål om å tilrettelegge det fysiske arbeidsmiljøet ved en brukken fot.

Prinsipp 4: Riktighet. Du må sikre deg at opplysningene stemmer

Opplysningene du samler inn skal være korrekte og om nødvendig oppdaterte. Bedriften må sørge for å straks slette eller rette personopplysninger som er uriktige med hensyn til de formål de behandles for.

Prinsipp 5: Lagringsbegrensning. Trenger vi disse opplysningene til evig tid?

Personopplysningene skal ikke lagres lengre enn det som er nødvendig for formålene som personopplysningene behandles for. Dette vil for eksempel si at man sletter jobbsøknader fra søkere som ikke kom videre etter at ansettelsesrunden er over. Dersom man skal beholde disse må man ha et klart formål med det, og et samtykke som også inkluderer hvor lenge det skal oppbevares.

Prinsipp 6: Sikkerhet. Ikke la opplysningene komme på avveie.

Personopplysningene må behandles på en slik måte som sikrer tilstrekkelig sikkerhet ved bruk av egnede tekniske eller organisatoriske tiltak. Det sentrale her er at opplysningenes integritet og fortrolighet beskyttes. De skal ikke komme på avveie.

 

Etterlevelse av reglene og dokumentasjon

Så hvordan er det disse prinsippene best overholdes? EUs personvernforordning fokuserer som tidligere nevnt mye på forebygging. Derfor er det en rekke krav som er nærmere spesifisert i forordningen for å gjennomføre disse prinsippene. Det er egentlig dette som er kjernen i GDPR – hvordan prinsippene skal følges i praksis, hver eneste dag.

Hovedkravene i GDPR som du må ha kontroll på er:

Lovlig grunnlag for innsamling og hva man kan samle inn, hvilke krav som stilles til samtykke, regler ved varsling når det er brudd på sikkerheten, rett til innsyn, retting, begrensning og sletting, informasjonsplikten man har til å gi god og forståelig informasjon om hvordan personopplysningene behandles, retten til dataportabilitet, krav til databehandleravtaler om man skal la andre behandle data for seg, og særlige krav dersom databehandleren befinner seg utenfor EU/EØS-området, innebygget personvern i tekniske løsninger, vurdering av personvernkonsekvenser, regler om profilering, krav til informasjonssikkerhet og regler om hvem som skal ha eget personvernombud. Listen er lang. Og den gjelder for langt mer enn opplysninger om ansatte. Også kundedata er omfattet av GDPR og må behandles deretter.

I tillegg er det krav i forordningen om hvordan alt dette skal dokumenteres, slik at man i dagliglivet klarer å følge rutinene og sikre personvernet. Det er denne dokumentasjonen Datatilsynet vil ha når de banker på døra di for å sjekke om dere følger regelverket. I hele dette arbeidet kan det være nyttig å skjele tilbake til de overordnede personvernprinsippene som er gjennomgått i denne teksten, hvis du er i tvil om hvordan kravene skal tolkes i din konkrete situasjon.

Forhåpentligvis har du nå fått litt bedre grep om hva GDPR er, og for å svare på det neste spørsmålet i tittelen; dette er helt klart noe du må forholde deg til.

Trenger du mer hjelp?

Kontakt Hilde Firman Fjellså i Advokatfirmaet Lippestad for ytterligere bistand.

Mobil: 915 449 04

Epost: post@advokatlippestad.no