GDPR innføring i arbeidsretten

Transkript

1 GDPR innføring i arbeidsretten IKT Norge, Datatilsynet, Bull & Cos seminarrekke - tirsdag den 24. oktober 2017 Advokat Kristin Haram Førde, Partner i Bull & Co

2 Bakgrunnen for GDPR Hovedformålene med GDPR På arbeidsrettens område: Ny teknologi også på arbeidsplassen Nye apper og smarte devices Infrastruktur og mengden av data Visker ut skillet mellom arbeidplass og hjem Gjør mulighetene for inngripende behandling av personopplysninger på arbeidsplassen større

3 Gjennomføring av GDPR i norsk rett Forordningen opphever og erstatter 95-direktivet med virkning fra 25. mai Forordningen skal gjennomføres i ny personopplysningslov Gjeldende POL oppheves EØS-avtalens artikkel 7: forordninger gjennomføres «som sådan» i nasjonal rett, dvs ved inkorporasjon Inkorporasjon = gjøres gjeldende som norsk lov uten omskrivninger

4 GDPR i norsk rett Forordningen åpner for utfyllende og presiserende regler i nasjonal rett Departementet foreslår: Generelle supplerende bestemmelser gis i den nye personopplysningsloven Sektorspesifikke regler gis, tilpasses eller videreføres i særlovgivningen Pedagogiske utfordringer

5 GDPR i den norske arbeidsretten Bestemmelser om personvern finnes på flere steder i særlovgivningen Behov for tilpasninger i disse bestemmelsene Bestemmelser som henviser eller gjengir reglene i POL Innarbeides «elementer fra» GDPR når det er nødvendig for sammenhengen (fortalens punkt 8) Ikke anledning til å gjengi reglene i omskrevet form Eks regler om samtykke eller internkontroll må endres slik at ordrett gjengivelse

6 Personvern i arbeidslivet Balansen mellom arbeidstaker og arbeidsgiver Arbeidsgivers styringsrett og kontrolltiltak Registrering nødvendig Ansattes interesser god skikk Ansattes interesse i å verne informasjon om seg selv Personvernet sentralt i arbeidsretten Personvernet årsaken til henvisning i spesialbestemmelsene

7 Artikkel 88 ansettelsesforhold Kan-regel: mulighet for implementering av regler ved lov eller tariffavtaler å fastsette Vern av rettigheter og friheter til arbeidstakere Ved behandling av arbeidstakers personopplysninger Rekruttering Oppfyllelse av arbeidskontrakt fra start til slutt Ledelse, planlegging og organisering av arbeidet Likestilling og mangfold

8 Artikkel 88 punkt 2 safeguard the data subject s human dignity, legitimate interests and fundamental rights, with particular regard to: the transparency of processing; the transfer of personal data within a group of undertakings or group of enterprises engaged in a joint economic activity; and monitoring systems at the workplace.

9 Artikkel 29 gruppen om vurdering av risiko for ansatte: the processing activity is necessary, and if so, the legal grounds that apply; the proposed processing of personal data is fair to the employees; the processing activity is proportionate to the concerns raised; and the processing activity is transparent.

10 Behandling av personopplysninger om ansatte Art 5: prinsippene Art 6: Behandlingens lovlighet Art 9: sensitive opplysninger om ansatte Art 10: behandling av opplysninger om straffbare forhold

11 Artikkel 10 viktig for arbeidsgiver «Vår erfaring er at private aktørers behandling av opplysninger om straffedommer og lovovertredelser mv. kan være uoversiktlig. Fra vår praksis kan vi nevne arbeidsgivers behov/ønske om å behandle slike opplysninger i ulike sammenhenger for eksempel bakgrunnsjekk eller i tilknytning til at en ansatt har begått en straffbar handling på jobben. Arbeidsmiljøloven eller annen lovgivning kommer her etter vår forståelse litt til kort.»

12 Behandlingsansvarliges plikter eksisterende Å ha lovlig grunnlag for behandling - formål Å inngå databehandleravtaler Å samarbeide med Datatilsynet Å sørge for informasjonssikkerhet Å ha oversikt/orden på behandlinger dokumentasjon Å oppnevne Data Protection Officer (dersom pliktig) Å følge prinsipper for overføringer til tredjeland Å ha på plass Internkontrollsystem

13 Behandlingsansvarliges plikter noe nytt Håndtere forespørsler fra de ansatte innsyn, retting, sletting videreføres Innebygget personvern og personvern som standardinnstilling Kun underleverandører som gir tilstrekkelig garantier for ivaretakelse av personvernet Avviksmeldinger til Datatilsynet Dokumentere avvik Avviksmelding til den/de berørte registrerte Gjennomføre personvernvurderinger

14 Prinsippene under GDPR (artikkel 5) Lovlig Formålsrettet Adekvat, relevant og begrenset (minimering) Korrekte og oppdaterte tiltak for å sikre sletting dersom uriktige mht formålene de behandles for Lagringsbegrensinger tatt inn bestemmelser i personopplysningsloven 14 om arkiv og forskning Integritet og fortrolighet tatt inn bestemmelser om taushetsplikt for DPO i personvernloven 15 «Accountability» = «Ansvar», skal kunne påvise at overholdes

15 Melde- og konsesjonsplikt Avløses av konsekvensutredning og forhåndskonsultasjon Skjerpet ansvar for BA og DB til å påse etterlevelse Skjerpet plikt til internkontroll Skjerpet plikt til risikovurderinger og konsekvensutredninger Personvernrådgiver Datatilsynet: Tilsynsmyndighetens kontroll endres til etterkontroll Sterkere veiledningsrolle Godkjenne adferdsnormer (certifications)

16 Gjeldende konsesjoner Fortalens 171: pågående behandling skal være i tråd med forordningen når denne trer i kraft Gjeldende tillatelser (konsesjoner) kan gjelde inntil endres, oppheves eller erstattes Men da i tråd med GDPR?

17 GDPR veiledninger

18 Opinion WP juni 2017 DB på arbeidplassen («data processing at work») GDPR art. 6 (b.gr.l.), 7 (vilkår samtykke), 8 (barn), 9 (sensitivt) og art 4 (11) (definisjon) Aktuelt når? Ansatteopplysninger Obs: Samtykke er svakt grunnlag + inngå i DPIA Ansvarlig rolle? Behandlingsansvarlig og databehandler Når? Hensyn: Samtykker sjelden frivillige Ny teknologi (kraftigere og billigere) Skille jobb og privatliv viskes ut Store muligheter overvåke Overvåking og DB mindre synlig Behandlingsgrunnlag Nødvendig gjennomføre avtale (ansettelsesavtalen) Lovpålagt (ex. regnskap) Legitim interesse (ex. rekruttering strengt nødvendig) Neppe samtykke Grunnprinsipper: Proporsjonalitet og dataminimering Formålsbegrensning og nødvendighet Åpenhet (info) Scenarier dekket i opinion: Ansettelsesprosessen (krever grunnlag, gi info) Løpende overvåking ansatte (sosiale medier, bør ikke skje) Overvåking IKT-bruk (store muligheter, blir raskt uforholdsmessig) Timer og tilstedeværelse (legitim interesse, info viktig) Videoovervåking (ansiktsanalyse normalt uforholdsmessig) Kjøretøy (innenfor legitime interesser, info viktig, skille privat/jobb) Overføring data til tredjepart (proporsjonalitet krav) Overføring data til utlandet (tilstrekkelig vern, minimering) Dataservere (privat område settes av)

19 Consultation, ICO (Information Commissioner s Office), Storbritannia 31. mars 2017 GDPR consent guidance GDPR art. 6, jf. art 4 (11), 7, 8 og 9 Aktuelt når? Samtykke er behandlingsgrunnlag Samtykket skal være: Frivillig, spesifikt, informert og klart Ansvarlig rolle? Behandlingsansvarlig Når? Alltid Sammendrag: GDPRs strenge samtykkekrav særlig betydning for samtykkemekanismene GDPR klarere på at samtykke må være klare og kreve aktiv handling/bekreftelse (innvalg kreves) Samtykker bør skilles fra andre vilkår Samtykke bør ikke være vilkår for innmelding i tjeneste Krav om gradert samtykke for hver databehandling Samtykker må dokumenteres («clear records») Tilbaketrekning av samtykke - mulighet må være godt opplyst om og gjennomføring enkelt Offentlige myndigheter, arbeidsgivere og andre organisasjoner med myndighet vil ha vansker med å kunne innhente gyldige (frivillige) samtykker Sjekklisten Asking for consent We have checked that consent is the most appropriate lawful basis for processing. We have made the request for consent prominent and separate from our terms and conditions. We ask people to positively opt in. We don t use pre-ticked boxes, or any other type of consent by default. We use clear, plain language that is easy to understand. We specify why we want the data and what we re going to do with it. We give granular options to consent to independent processing operations. We have named our organisation and any third parties. We tell individuals they can withdraw their consent. We ensure that the individual can refuse to consent without detriment. We don t make consent a precondition of a service. If we offer online services directly to children, we only seek consent if we have age-verification and parental-consent measures in place. Recording consent We keep a record of when and how we got consent from the individual. We keep a record of exactly what they were told at the time. Managing consent We regularly review consents to check that the relationship, the processing and the purposes have not changed. We have processes in place to refresh consent at appropriate intervals, including any parental consents. We consider using privacy dashboards or other preferencemanagement tools as a matter of good practice. We make it easy for individuals to withdraw their consent at any time, and publicise how to do so. We act on withdrawals of consent as soon as we can. We don t penalise individuals who wish to withdraw consent.

20 Utkast til ny personopplysningslov Personvernerklæringer og HR Policies GDPR artikkel 13 Aktuelt når? Informasjonskrav Gjeldende rett: POL Hva skal denne inneholde? Hvem er behandlingsansvarlig kontaktinfo Hvem er DPO kontaktinfo Formål og behandlingsgrunnlag (inkludert om nødv for avtale) Eventuelle mottagere Lagringstid Rett til innsyn, retting og sletting Overføring av informasjon til utlandet Profilering Rett til å trekke tilbake et samtykke Rett til å klage til tilsynsmyndighet Ansvarlig rolle? Behandlingsansvarlig Når? Hvordan? På tidspunkt for innsamling av personopplysningene Åpen og lett tilgjengelig Klart og lettfattelig språk Hvor opplyse? Hjemmesider Inkludert i databehandleravtale HR-policy internkontroll

21 Veiledning Datatilsynet Registrertes rettigheter GDPR Kapittel 3 Aktuelt når? Krav om innsyn, retting, sletting og dataportabilitet Behandlingsansvarlig: tilrettelegge Ansvarlig rolle? Behandlingsansvarlig Husk: Informasjonsplikt Innsyn hva slags informasjon skal gis formålene med behandlingen hva slags personopplysninger som behandles mottakerne hvor lenge personopplysningene skal lagres om den registrerte har rett til å kreve retting, sletting eller begrensning av behandling av personopplysninger om retten til å klage til en tilsynsmyndighet hvor personopplysningene stammer fra automatiserte avgjørelser inkludert profilering, Overføring av personopplysninger til et tredjeland Retting: De registrerte har rett til å få korrigert personopplysninger som er feil eller unøyaktige. Korrigering skal gjøres så snart som mulig. Sletting: opplysningene ikke lenger er nødvendig for å oppnå formålet med behandlingen samtykket trukket tilbake den registrerte har fremsatt en berettiget innsigelse Ulovlig behandling rettslig forpliktelse i EU-retten eller norsk lov Dataportabilitet Strukturert, alminnelig anvendt og maskinlesbart format Kreve at overføres direkte til den nye behandlingsansvarlige Vilkår? Behandlingen av personopplysninger skjer på bakgrunn av et samtykke eller en kontrakt. Behandlingen av personopplysninger skjer elektronisk.

22 Guidelines WP april 2017 Konsekvensutredning og forhåndskonsultasjon (DPIA + prior consultation) GDPR art Aktuelt når? Høy risiko krenke personvernet Obs: Konsesjons og meldinger utgår Ansvarlig rolle? Behandlingsansvarlig Når? Før behandlingen begynner Vurderingskriterier risiko: Ny teknologi? Skjer vurdering og rangering? (Profilering og prediksjon, ex. ytelse jobb, helse, preferanser, pålitelighet, geo-lokasjon, adferd) Er overvåkingen systematisk? Automatiske beslutninger? Systemovervåking? Behandles sensitive data? Stor skala? (Ant.subjekter, volum data, varighet, geografisk utstrekning) Kombineres datasett? Sårbare datasubjekter? (Barn, eldre, ansatte?) Eksport av data? Tvungen behandling? (Offentlig område (ex. kamera), tilgang tjenester (ex. kredittsjekk banklån) Tommelfingerregel: Om ja på to, så er høy risiko. Hvordan? Involvér PV-rådgiver Rådføre med datasubjekt Dokumentér Bruk rådgivere (IT-sikkerhet, sikkerhet, juridisk) Beskriv behandling Vurder nødvendighet, proporsjonalitet, risiko for brudd PVrettigheter mm. Identifiser tiltak (Risikohåndtering og demonstrasjon overholdelse) Publiser gjerne (om ikke problem sikkerhet) Prosess? Gi DT info (ansvarsfordeling, formål, mm.) Råd/respons innen 8 (+ 6 om komplekst) uker Pålegg av alle typer kan gis av DT

23 Utkast til ny personopplysningslov nærmere plassering vurderes Utkast til bestemmelser om arbeidsgivers innsyn i e-postkasse mv. Lagt frem i høringsutkastet (hjemmel i GDPR artikkel 88) Aktuelt når? Kontrolltiltak på arbeidsplass Gjeldende rett: Personopplysningsforskriften kapittel 9 - videreføres Ansvarlig rolle? Behandlingsansvarlig Når? Hva innebærer dette for den enkelte? Forutberegnelighet ift når og hvordan foreta innsyn Gjelder for rett til innsyn i opplysninger lagret i: E-post som arbeidsgiver har stilt til disposisjon for arbeidstaker i denne jobb Arbeidstakers personlige områder i virksomhetens datanettverk Arbeidstakers personlige områder i annet elektronisk utstyr Aktivitetslogger i virksomhetens datanettverk (Og sikkerhetskopier av disse) Presiseringer: Innsyn skal gjøres slik at opplysningene ikke endres Innsyn skal kun skje dersom det er nødvendig for formålet med innsynet Hvordan? Arbeidstaker varsles så langt som mulig Arbeidstaker få rett til å uttale seg Varsel: begrunne hvorfor vilkår oppfylt + rettigheter Gir rett til å være tilstede (så langt som mulig) Bistå av tillitsvalgt Unntak i henhold til den nye lovens 13 skal gjelde (unntak fra rett til innsyn) Sletting av e-post og filer E-postkasse skal avsluttes ved opphør av arbeidsforholdet E-postkasse skal slettes innen rimelig tid dersom ikke nødvendig for den daglige drift Informasjon som lagret på personlige områder skal slettes innen rimelig tid av samme grunn

24 Utkast til ny personopplysningslov Kapittel 1 1 til 6 Utkast til bestemmelser om kameraovervåkning på arbeidsplass og bruk av uekte kameraovervåkning Lagt frem i høringsutkastet (hjemmel i GDPR artikkel 88) Aktuelt når? Kontrolltiltak på arbeidsplass Gjeldende rett: POL kap VII og forskrift kapittel 8 Ansvarlig rolle? Behandlingsansvarlig Når? Hva innebærer dette for den enkelte? Overvåkning der arbeidstakere ferdes jevnlig Inngrep i den enkelte ansattes privatliv og integritet Umulig for den enkelte ansatte å unnslippe overvåkningen Systematisk overvåkning (se DPIA) fortalepunkt 91 (stor skala av offentlig tilgjengelig steder) Private øyemed faller utenfor (jfr artikkel 2 nr 2 c)) Hva er vilkårene for kameraovervåkning? Virksomhetens behov for å forebygge farlige situasjoner Virksomhetens behov for ivareta ansattes eller andres sikkerhet Særskilt behov for overvåkningen DPIA i visse tilfeller Generelle bestemmelser om behandling av PO Hvordan? Varslingsplikt (informasjonskrav i GDPR art 12 14) Skilting Tydelig at stedet blir overvåket Inkluderer lydopptak? Behandlingsansvarlig Utlevering & sletting Utlevering til tredjemann etter samtykke fra registrerte Politiets etterforskning Følger av lov Sletting: Hovedregel: 7 dager etter opptak 30 dager dersom sannsynlig at utleveres til politiets etterforskning Bank- og post, pluss butikker med bankterminal: 30 dager Særlige behov Datatilsynet kan godta Politiets besittelse ikke sletteplikt

25 Guidelines WP 29 - desember 2016 Personvernrådgiver (Data Protection Officer) GDPR art. Art Aktuelt når? Krav til Personvernrådgiver i visse selskaper Rolle: «facilitating compliance with the provisions of the GDPR» Ansvarlig rolle? Behandlingsansvarlig Når? Løpende Hvilke virksomheter: Offentlige virksomheter (uavhengig av hva slags behandling) Andre virksomheter som systematisk og som «core activity» behandler personopplysninger «on a large scale» Andre virksomheter som behandler sensitive personopplysninger «on a large scale» Krav til virksomhetene: Dersom det ikke er åpenbart at en organisasjon ikke behøver å utnevne en PVR, anbefales å dokumentere analysen Dersom utnevner PVR på frivillig grunnlag samme krav til PVR skal gjelde (art 37-39) Ikke det samme som Personvernombudsordningen Kan oppnevne tredjemann/konsulent til å gjøre oppgavene i henhold til tjenesteavtale ekspert og andre krav gjelder Eksempler: Drifte telenett Levere telekomtjenester Lokasjonstjenester, eks fra mobil app Kredittsjekking Lojalitetsprogram Treningsprogrammer i apps etc Smarte biler (connected devices) PVRs rolle Ekspert på personvernlovgivning og praksis Lokal og EU-rett, spes GDPR Involvere seg i alle personvernspørsmål Nødvendig tilrettelegging internt Nødvendige ressurser Uavhengig stilling (ingen instruksjoner, for eksempel om mål) (art 38) Art 38(3): ikke bli sagt opp eller straffet fordi gjør jobben sin Art 38(6) Conflict of interest (other tasks)

26 Guidelines WP 29 - desember 2016 Dataportabilitet (rett til å ta med seg data) GDPR art. Art 20 Aktuelt når? En kunde sier opp sin tjenesteavtale og ønsker å ta med seg sine data over til ny operatør Ansvarlig rolle? Behandlingsansvarlig Når? Løpende Hva og hvorfor?: Rett for registrerte til å motta dataene sine, i et strukturert, vanlig og maskinlesbart format og til å overføre dem til en annen behandlingsansvarlig Formål: støtter den registrertes rett til å velge, til å ha kontroll på dataene sine og også støtter det forbrukervern og fri flyt av personopplysninger innen EU, balanse mellom registrerte og behandlingsansvarlig Hva innebærer retten? Rett til gratis å motta støtter rett til tilgang «structured, commonly used and machin-readable format» Rett til å overføre fra en til en annen behandlingsansvarlig Hindrer «lock-in» Gjenbruk av data Kun data som: Handler om registrerte Registrerte har gitt til behandlingsansvarlig Begrensninger i retten til dataportabilitet: Kun når behandlingen er basert på samtykke, eller for oppfyllelsen av en kontrakt med registrerte Kun for behandling som skjer automatisk/elektronisk (ikke for papir) Skal ikke begrense andre rettigheter eller andres friheter Eks informasjon i en bankkonto informasjon, der andre har satt inn penger til den registrerte IP-rettigheter og taushetsbelagt informasjon Hva bør behandlingsansvarlige forberede: Informasjonsplikt til registrerte om rett til dataportabilitet Skille mellom ulike typer data og hva den registrerte kan få Informasjon om hva slags data som er behøvet minimering Identifisering av registrerte mekanismer Store mengder vurdere andre metoder enn via nettet, eks cd, dvd etc Tidsfrister: uten ugrunnet opphold og senest innen 1 måned etter mottak av krav om portabilitet (maks 3 måneder)

27 GDPR Metode for gjennomføring Fase 1 Etablér teamet Fase 2 Analysér Fase 3 Etablér rutiner Opplæring, eierskap ledelse, roller deltagere (IT, etterlevelse, HR, juridisk, produktutvikling, ledelse) Gap-analyse, personvernstrategi, PV-rådgiver (PVR), planlegging, budsjett, ansvarsfordeling, forsikring Behandlingsgrunnlag (formål, samtykke), PV-erklæring, internkontroll, innebygget PV, sikkerhetskrav, konsekvensvurdering/konsultasjon, dataportabilitet, sertifisering, overføring data utland Fase 4 Implementér Teknisk (IT, fysisk) og organisatoriske (opplæring, kultur) tiltak Fase 5 Driftsfase Operasjonalisering rutiner, vedlikehold, kontroll/oppfølging, PV-ombud Se mer på

28