VELKOMMEN TIL KURS I PERSONVERN. Advokat Sunniva Berntsen Advokat Vibeke Lærum

Transkript

1 VELKOMMEN TIL KURS I PERSONVERN Advokat Sunniva Berntsen Advokat Vibeke Lærum

2 Temaer for kurset Sentrale begreper og prinsipper Lovverket Endringer hovedtrekk i nytt regelverk Bedriftseksempel v/ Ingrid Bjørdal - Norsk Gjenvinning Kontrolltiltak bakgrunnssjekk, innsyn i epost, kameraovervåking mv. Veiledere hvordan lykkes med en helhetlig og langsiktig strategi for personvern? Personvern 2

3 Hva vet norske bedriftsledere om EUs nye personvernforordning GDPR? Våren bedriftsledere Kun 2 % sa de hadde god innsikt i personvernforordningen 60 % sa de ikke visste om de kunne dokumentere hvordan de håndterte personopplysninger Kun én av ti hadde startet arbeidet med å tilpasse seg den nye lovgivningen GDPR 33 % kjente ikke til forordningen Personvern 3

4 Snart er 25. mai 2018 her Så sett i gang! Personvern 4

5 Hva er personopplysninger? Peder Ås Lillevikveien 4 Lillevik Fødselsnummer Personvern 5

6 Hva er personopplysninger? Navn Adresse Metadata Fødselsnummer Genetiske og biometriske opplysninger Telefonnummer IP-adresse Bilnummer Bluetooth MAC Wi-Fi-adresse MAC Autopass-brikke-ID UDID Personvern 6

7 Sensitive personopplysninger Spesiell kategori kravet til behandlingsgrunnlag øker Genetiske og biometriske opplysninger Seksuell orientering Fagforeningstilknytning Personvern 7

8 Hvorfor personvern? Viktig i et demokratisk samfunn EMK artikkel 8 Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse. Grunnloven 102 Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller. Statens myndigheter skal sikre et vern om den personlige integritet Personvern 8

9 Hva skal personvernet beskytte Retten til å ha kontroll over egne personopplysninger Stikkord - Selvbestemmelse - Informasjon Personvern 9

10 SENTRALE BEGREPER OG PRINSIPPER

11 Sentrale begreper Behandling av personopplysninger Personopplysning en opplysning som kan knyttes til en bestemt person Sensitiv personopplysning opplysninger om for eksempel genetiske og biometriske opplysninger, helse, seksuell legning, fagforeningstilknytning Personvern 11

12 Sentrale begreper Behandlingsansvarlig den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes (hovedansvarlig for at loven etterleves) Databehandler - den som behandler personopplysninger på vegne av en behandlingsansvarlig Databehandleravtale - En avtale mellom databehandler og behandlingsansvarlig om hvordan personopplysninger skal behandles Personvern 12

13 Sentrale begreper Den registrerte - den fysiske person som en personopplysning kyttes til Personvernstrategi Beslutninger og tiltak for etterlevelse av personvernforordningen og ny personopplysningslov. Internkontroll rutiner og tiltak for å overholde personvernregelverket Personvern 13

14 Grunnleggende prinsipper Lovlighet: behandlingen av personopplysninger må ha et rettslig grunnlag (også kalt behandlingsgrunnlag) Rettferdighet: forholdsmessighet mellom inngrepet og formålet Gjennomsiktighet: informasjonsplikter og innsynsrettigheter Personvern 14

15 Grunnleggende prinsipper Formålsbegrensning: spesifikke, uttrykkelige og angitte og legitime formål Data minimering: Opplysningene skal være adekvate, relevante og nødvendige for formålet Riktighet: Opplysningene skal være korrekte og oppdaterte Personvern 15

16 Grunnleggende prinsipper Lagringsbegrensning: Opplysningene skal anonymiseres eller slettes når behandlingen ikke er nødvendig for å nå formålet Integritet og fortrolighet/informasjonssikkerhet: tilstrekkelig sikkerhet mot uautorisert eller ulovlig behandling og utilsiktet tap, ødeleggelse eller skade Ansvarlighet: den behandlingsansvarlige er ansvarlig for og skal kunne påvise at prinsippene overholdes Personvern 16

17 GJELDENDE OG NYTT LOVVERK Kort om hvorfor vi trenger nytt regelverk

18 Gjeldende lovverk Personopplysningsloven delvis basert på EUs personverndirektiv Personopplysningsforskriften Ordning med melde- og konsesjonsplikt Personvern 18

19 Personvernforordningen GDPR Regulation (EU) 2016/679 Bakgrunn Felles regelverk i Europa Styrke den europeiske borgers rettigheter Gjøre det lettere å utveksle personopplysninger over landegrenser Styrke tilliten til digitale tjenester Sikre samarbeid mellom personvernmyndigheter Personvern 19

20 Nye personvernregler fra EUs personvernforordning trer i kraft 25. mai 2018 Forslag om ny personopplysningslov - i kraft fra 25. mai 2018 som implementerer EUs personvernforordning i sin helhet Personvern 20

21 Norske særregler Kameraovervåking på arbeidsplass og bruk av uekte kameraovervåkingsutstyr Forslag om at personopplysningsforskriften kapittel 9 om arbeidsgivers innsyn i e-postkasse mv. bør videreføres i norsk rett, med visse justeringer Personvern 21

22 Mer innholdsmessige krav i regelverket Krav i forordningen Krav til strategier for etterlevelse av regelverket Personvern 22

23 Alle virksomheter får nye forpliktelser Alle må finne ut hva regelverket betyr Nye rutiner er et ledelsesansvar Alle ansatte skal følge nye rutiner Personvern 23

24 ENDRINGER Hovedtrekk i nytt regelverk

25 Hovedtrekk i nytt regelverk Fysiske personer i alle EU/EØS-land skal ha samme nivå av rettigheter Utvidet geografisk område «One stop shop» Virksomheter skal kunne forholde seg til en personvernmyndighet Men den registrerte skal kunne klage i eget land Personvern 25

26 Overføring utenfor EU/EØS Tredjeland som Kommisjonen har godkjent EU-US Privacy Shield Andre grunnlag for overføring til tredjeland: o o o o Bindende virksomhetsregler Standard personvernbestemmelser/-kontrakter Den behandlingsansvarlige eller databehandleren gir nødvendige garantier og de registrerte har håndhevbare rettigheter Unntaksvis - samtykke Personvern

27 Hovedtrekk i nytt regelverk Krav om klar og forståelig personvernerklæring Som skal være lett tilgjengelig Som skal ha et klart språk tilpasset leseren Opplysninger som skal framkomme Personvern 27

28 Nye rettigheter for den registrerte Rett til å flytte data mellom tilbydere, dataportabilitet Retten til å bli glemt (slettet) Automatiserte avgjørelser og rett til å nekte profilering Rett til å begrense en behandling Håndtere henvendelser fra borgere innen èn måned Personvern 28

29 Hovedtrekk i nytt regelverk Krav til innebygd personvern i IKT løsninger Tekniske og organisatoriske tiltak For å ivareta personvernprinsipper minimalisering Det minst personverninngripende alternativet som standard: En systematisk prosess Personvern 29

30 Hovedtrekk i nytt regelverk Databehandler direkte omfattet av regelverket Vær bevisst ved valg av databehandler Bruk databehandler som etterlever regelverket Personvern 30

31 Nye krav til innholdet i databehandleravtaler Skriftlighet Inneholde bestemmelser om: Hensikten med og varigheten av behandlingen, behandlingens formål og art, typen personopplysninger og kategorier av registrerte, samt den behandlingsansvarliges rettigheter og plikter. Spesifisere hvordan databehandler skal bistå den behandlingsansvarlige med å etterkomme krav fra enkeltpersoner, informasjonssikkerhet, avvikshåndtering og konsekvensanalyse. At databehandler kun skal behandle personopplysninger etter dokumenterte instruksjoner fra den behandlingsansvarlige. Kun overføre personopplysninger til et land utenfor EU-/EØS-området eller til internasjonale organisasjoner slik det er beskrevet i dokumenterte instruksjoner fra den behandlingsansvarlige Personvern 31

32 Nye krav til innholdet i databehandleravtaler Databehahandler skal: Forplikte seg til å sørge for at de som har tilgang til personopplysningene som behandles, er underlagt taushetsplikt, og skal sørge for informasjonssikkerhet. Respektere reglene for underleverandører. Avhengig av hva den behandlingsansvarlige velger, slette eller tilbakeføre alle personopplysninger når databehandlingstjenestene opphører. Kopier skal også slettes. Dette gjelder med mindre en annen lov krever at de skal tas vare på. Tilgjengeliggjøre dokumentasjon for den behandlingsansvarlige som viser at bestemmelsene etterleves og også bidra til revisjoner Personvern 32

33 Hovedtrekk i nytt regelverk Alle får krav til avvikshåndtering- og rapportering Avvik meldes til Datatilsynet uten ugrunnet opphold og senest innen 72 timer - Innhold i avviksmeldingen - Varsling av registrerte ved sikkerhetsbrudd Flere må ha personvernrådgiver Personvern 33

34 Nærmere om internkontroll Bedrifter vil få krav om å dokumentere virksomhetens internkontroll for hhv: Personopplysninger Datasikkerhet Må ha rutiner for å imøtekomme henvendelser om innsyn i personopplysninger Rutiner for sletting Rutiner for hva som skal gjøres dersom data kommer på avveie Personvern 34

35 Bransjenormer Sektorvis utforming av retningslinjer Sikrer at de viktigste rutinene er på plass Flere fordeler ved å følge disse Datatilsynet skal godkjenne bransjenormer Personvern 35

36 Slutt på melde- og konsesjonsplikt Dagens ordning med melde- og konsesjonsplikt bortfaller Men plikt til å gjøre en risikovurdering før man iverksetter nye tiltak Hvis tiltak utgjør et stort inngrep i personvernet skal personvernkonsekvenser vurderes Hvis konklusjon: Høy personvernrisiko, og bedriften ikke kan redusere tiltaket selv, da starte forhåndsdrøftinger med Datatilsynet som gir råd og veiledning Personvern 36

37 Sanksjoner ved overtredelse Store bøter ved overtredelse av bestemmelsene 10 mill euro / 2 prosent av global omsetning høyeste beløp av de to 20 mill euro / 4 prosent av global omsetning høyeste beløp av de to Avhengig av forsømmelsen Personvern 37

38 VEIEN TIL ETTERLEVELSE Personvern 38

39 Compliance er en kontinuerlig prosess Forankring Kartlegging Operasjonalisering Etterlevelse Personvern 39

40 Elementer som sikrer etterlevelse Ledelse Risiko Oversikt Opplæring Kommunikasjon Retningslinjer Involvering Respons Personvern 40

41 PERSONVERN I ARBEIDSLIVET

42 Arbeidsgivers styringsrett Avtaler: Hovedavtale Overenskomst Lokalavtaler Arbeidskontrakt Lover: Arbeidsmiljøloven Personopplysningsloven Diskrimineringslovene Regler om taushetsplikt i ulik lovgivning m.v Personvern 42

43 Hjemmel for å behandle personopplysninger Husk Arbeidsgiver må alltid ha et behandlingsgrunnlag Samtykke fra arbeidstaker? Lovfestede plikter - for eksempel bestemmelser om sykefraværsoppfølging Lovhjemmel i personopplysningsloven Personvern 43

44 Samtykke fra arbeidstaker I utgangspunktet IKKE et gyldig behandlingsgrunnlag for personopplysninger. Begrunnelse underordningsforholdet arbeidstaker står i. Et samtykke må være informert, uttrykkelig og frivillig. Samtykke fra AT er heller ikke egnet som overføringsgrunnlag for ansatteopplysninger til land utenfor EØS-området uten tilstrekkelig vernenivå Personvern 44

45 Lovhjemmel for å behandle personopplysninger Personopplysningsloven 8 og 9 gir hjemmel 8 holder hvis det ikke er sensitive opplysninger - særlig praktisk er 8f) - husk interesseavveining 9 sensitive personopplysninger Personvern 45

46 Arbeidsgivers taushetsplikt Arbeidsgiver får i kraft av rollen kjennskap til mange personopplysninger om den enkelte ansatte. Eksempler - fagforeningstilhørighet, religion, seksuell orientering, helsemessige forhold. Aml kap 4 - Implisitt taushetsplikt - sørge for et fullt forsvarlig arbeidsmiljø Personvern 46

47 Flyt av opplysninger i konserner Selskapet hvor den enkelte er ansatt = behandlingsansvarlig I konserner med flere datterselskaper = hvert selskap regnes som BA for sine respektive ansatte Utveksling av ansattopplysninger mellom selskaper må ha behandlingsgrunnlag i 8 evt 9 hvis sensitive personopplysninger Formålsbestemthetsprinsippet utveksling må ikke stride mot dette Personvern 47

48 Flyt av opplysninger i konserner Internasjonale konsernforhold - i dag må hvert datterselskap følge de lokale personvernreglene i landet der selskapet er etablert Endring etter GDPR-innføring fra mai 2018 Innenfor EU/EØS - One stop shop Utenfor EU/EØS - Land med godkjent vernenivå = ok - Land med oversikt over godkjente selskaper (USA) - Konsernregler som er GDPR-godkjent Personvern 48

49 Personvern 49

50 BAKGRUNNSSJEKK VED REKRUTTERING Hva kan arbeidsgiver innhente av opplysninger?

51 Bakgrunnssjekk ved rekruttering Begrensninger opplysninger som innhentes må ha et saklig formål: Krever stillingen en viss fysisk form eller uavhengighet til politiske partier? Kontakt med referanser Kontakte læresteder/institusjoner Bakgrunnssjekk ved søk på internett Arbeidsgivers informasjonsplikt og hensynet til en transparent prosess Øvrige skranker for informasjonsinnhenting/testing Personvern 51

52 Bakgrunnssjekk ved rekruttering Personlighetstest, IQ-test mv Bruk av rekrutteringsselskaper: Databehandleravtale mellom bedrift og rekrutteringsbyrå Som BA er bedriften hovedansvarlig for at regelverket etterleves Personvern 52

53 De forbudte spørsmål Graviditet, adopsjon eller familieplanlegging Hvordan søker stiller seg til politiske spørsmål Medlemskap i arbeidstakerforening Religiøst eller kulturelt syn Unntak dersom stillingens karakter tilsier det Seksuell orientering Personvern 53

54 Innhenting av helseopplysninger ved ansettelse AML det kan kun innhentes helseopplysninger fra søkeren som er nødvendige for å utføre oppgaver knyttet til stillingen AML Arbeidsgiver kan kreve at medisinske undersøkelser skal foretas: Når det følger av lov/forskrift Ved stillinger som innebærer særlig risiko Når arbeidsgiver finner det nødvendig for å verne liv eller helse Personvern 54

55 KONTROLLTILTAK Hva er det og hva kreves for å innføre dette?

56 Kontrolltiltak Kontrolltiltak eksempler Tidsregistrering Tilgangskontroll Produksjonskontroll og styringssystemer Helseundersøkelser og innhenting av helseopplysninger Rustesting Ransaking eller kroppsvisitering Kameraovervåking av arbeidslokalene Logging/monitorering av kommunikasjon Sporingsteknologi i virksomhetens kjøretøy Kontroll av epost og besøk på internettsider AML oppstiller vilkår Må ha saklig grunn Må ikke innebære en uforholdsmessig belastning for arbeidstaker Personvern 56

57 Kontrolltiltak Stikkord: Drøfte, informere, evaluere Drøftingsplikt «så langt det er mulig» med tillitsvalgt og jevnlig evaluering husk protokoll Ta med verneombudet på råd og behandle planen om kontrolltiltak i AMU Før iverksettelse gi info til berørte arbeidstakere: Formålet med kontrolltiltaket Praktiske konsekvenser av tiltaket Tiltakets antatte varighet Brudd på reglene kan få store konsekvenser per i dag maks 10G Avskjæring som bevis Personvern 57

58 Kontrolltiltak Via kontrolltiltak samles det inn personopplysninger Da må virksomheten ha et behandlingsgrunnlag = hjemmel for å behandle personopplysningene Personopplysningsloven 8,9 og 11 For personopplysninger om de ansatte er det ofte 8 f) som gir hjemmel Husk formålsprinsippet Personvern 58

59 Arbeidstakers rett til info og innsyn Den ansatte skal informeres før kontrolltiltak iverksettes Når personopplysninger er samlet inn har den registrerte rett til innsyn i disse Unntak - dersom det er påkrevd å hemmeligholde opplysninger av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger Personvern 59

60 Internkontroll Virksomheter som benytter kontrolltiltak må ha internkontroll Internkontroll innebærer at virksomheten skal ha oversikt over hvilke personopplysninger som samles inn og hvordan de blir behandle Nye tiltak må føres inn i internkontrollsystemet Sørge for rutiner og intern opplæring slik at personopplysninger blir brukt i tråd med regelverket Personvern 60

61 1 Vurder behov og kartlegg risiko 4 Evaluer og Følg opp 2 Beslutt, planlegg og forbered 3 Gjennomfør Personvern 61

62 Sjekkliste for gjennomføring av kontrolltiltak Vurder nøye valg av kontrolltiltak vurder også om det finnes andre mindre inngripende virkemidler Gjennomfør kontrolltiltaket med mest mulig transparens og på minst mulig inngripende måte Vurder om vilkårene for å innføre kontrolltiltaket er oppfylt: Er tiltaket saklig og forholdsmessig? Foreligger behandlingsgrunnlag for personopplysningene? Vil bruken av personopplysninger være forenlig med det opprinnelige formålet? Følg prosedyrer for innføring av kontrolltiltaket: Drøft tiltaket med tillitsvalgte og gjør eventuelle tilpasninger før tiltaket iverksettes Etabler klare retningslinjer for akseptabel atferd og rutiner for gjennomføring av kontrolltiltak Gi ansatte informasjon og eventuell opplæring om tiltakene Håndhev interne retningslinjer viktig fordi manglende håndheving kan gjøre det vanskelig å sanksjonere de brudd som avdekkes av kontrolltiltakene Personvern 62

63 Sjekkliste for gjennomføring av kontrolltiltak Vurder nøye valg av kontrolltiltak vurder også om det finnes andre mindre inngripende virkemidler Evaluer kontrolltiltakene regelmessig, gjerne årlig: I større virksomheter kan det være hensiktsmessig med en samlet gjennomgang av relaterte tiltak med deltakelse fra blant annet HR, IT-sikkerhet og juridisk avdeling Gjennomgå rapporterte avvik/hendelser og eventuelle regelverksendringer merk endring av regelverk fra 28. mai 2018 Er der behov for å videreføre tiltakene eller innføre andre tiltak? Er retningslinjer, rutiner, opplæringstiltak og håndheving tilfredsstillende? Last ned sjekkliste på arbinn.nho.no Personvern 63

64 EKSEMPLER PÅ KONTROLLTILTAK

65 Kameraovervåking Kameraovervåking er et relativt vanlig kontrolltiltak, men kan oppleves belastende for de ansatte Vurder mindre inngripende midler Krav om forholdsmessighet Eventuelle opptak skal slettes innen syv dager 30 dager hvis det er sannsynlig at opptak vil bli utlevert til politiet Overvåking må varsles gjennom skilting Per jan 2017 ikke meldepliktig Personvern 65

66 Innsyn i e-post, filer og kommunikasjonsutstyr Utgangspunktet er at arbeidsgiver ikke kan kreve innsyn i de ansattes epost og private filer Det er noen få unntak, men strenge vilkår for innsyn Når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten Ved begrunnet mistanke om at arbeidstaker bruk av epostkassen medfører et grovt brudd på de plikter som følger av arbeidsforholdet eller kan gi grunnlag for oppsigelse eller avskjed Personvern 66

67 Innsyn i e-post, filer og kommunikasjonsutstyr Innsynsreglene gjelder: Epost av typen navn@virksomhet.no Arbeidstakers private filområde/hjemmeområde på virksomhetens datanettverk Elektroniske kommunikasjonsmedier eller IT-utstyr, for eksempel PC, smarttelefon eller nettbrett Alle eposter og filer, også slettet materiell og materiell tilgjengelig på sikkerhetskopier. Alle nåværende og tidligere ansatte og innleid personell Personvern 67

68 Innsyn i e-post, filer og kommunikasjonsutstyr Prosedyre for gjennomføring av innsyn må følges Arbeidsgiver må drøfte på systemnivå Arbeidstaker skal så langt det er mulig varsles og gis anledning til å uttale seg før innsyn Varslet skal opplyse hvorfor vilkårene for innsyn anses oppfylt Arbeidstakers rett til å uttale seg før innsynet Arbeidstakers rett til å være tilstede under innsynet og bli bistått av tillitsvalgt / annen representant Personvern 68

69 Innsyn i e-post, filer og kommunikasjonsutstyr Plikt til å varsle arbeidstaker før innsyn gjelder «så langt som mulig» Hvis innsyn må skjer umiddelbart kan det gjennomføres uten varsel Vurder eventuelt speilkopi Hvis innsyn har skjedd uten varsel - sørg for skriftlig underrettelse til den ansatte så snart innsynet er gjennomført Skrivet må inneholde følgende info: Hvorfor vilkårene for innsyn anses som oppfylt Hvilken metode som er benyttet ved Personvern innsynet Hvilke eposter eller andre dokumenter som ble

70 Sjekkliste for gjennomføring av innsyn Arbeidsgiver bør ha klare retningslinjer for bruk av bedriftens epost og IT-utstyr Vurder tiltak som kan redusere behovet for innsyn: Privat bruk av bedriftens utstyr bør bare tillates i begrenset grad Oppfordre ansatte til å benytte privat epost til privatbruk Ha klare retningslinjer for fortløpende arkivering av virksomhetsrelaterte dokumenter og dedikerte mapper for privat innhold Bruk fraværsassisten ved fravær Opprett egne epostkasser for tillitsvalgte som kan benyttes i deres verv Eksemplifiser i hvilke tilfeller arbeidsgiver vil ha rett til å gjennomføre innsyn Etabler rutine for gjennomføring av innsyn (hvem beslutter, fremgangsmåte, bruk av standard informasjonsskriv, beredskap mht speilkopiering, innkalling av ekstern bistand mv.) Etabler rutine for avvikling av epostkonto, sperring av tilganger til programmer og sletting og arkivering av innhold når ansatte slutter Personvern 70

71 Sjekkliste for gjennomføring av innsyn Sjekkliste ved gjennomføring av innsyn: Den ansatte skal så langt som mulig varsles, gis anledning til å uttale seg og gis anledning til å være til stede med bistand fra tillitsvalgt ved gjennomføringen Forsøk å bli enige om retningslinjene for den praktiske gjennomføringen i forkant for å sikre forutsigbarhet og dempe konfliktnivået Før innsyn - tenk igjennom søkeord og vurder hvordan søket kan gjøres mest mulig presist Ved innsyn skal arbeidsgiver ikke lese mer av dokumentet enn det som er nødvendig for å avgjøre om det er relevant Vurder behovet for ekstern bistand hvis det er særlig viktig å sikre notoritet Personvern 71

72 Adgangskontroll Elektronisk adgangskontroll er tekniske løsninger som sørger for at bare de som rettmessig har adgang til et bestemt område, kan passere Selv om hensikten med elektronisk adgangskontroll virker innlysende, skal det være et skriftlig nedfelt formål med tiltaket Fra jan 2017 er behandling av personopplysninger i aktivitetslogg i adgangskontrollanlegg unntatt fra meldeplikt Tidsregistrering og adgangskontroll skal ikke blandes Personvern 72

73 Tidsregistrering Arbeidsgiver kan kreve at de ansatte selv registrerer seg når de kommer på arbeid og når de forlater arbeidsplassen Enkelte yrker/stillinger har ikke fast arbeidssted Ved bruk av lokaliseringsdata til å registrere arbeidstid skal ikke kontrollen generere mer informasjon enn nødvendig Registrering må gjennomføres på minst mulig inngripende måte overfor den ansatte Personvern 73

74 Veskekontroll Veskekontroll kan være aktuelt dersom de ansatte har tilgang til verdifulle eller farlig produkter Arbeidsgiver styringsrett gir en ganske vid adgang til å benytte dette kontrolltiltaket Må være saklig begrunnet og ikke uforholdsmessig inngripende Kravene til saklighet, drøfting og informasjon gjelder Personvern 74

75 GPS-sporing av yrkesbiler Elektronisk sporing av kjøretøy gir også informasjon om hvor arbeidstaker befinner seg Krav til saklighet, forholdsmessighet og drøfting Arbeidsgiver må skrive ned formålet og beskrivelsen vil være styrende for hva slags personopplysninger som kan behandles, hvor lenge de kan lagres og hvem i virksomheten som skal ha tilgang til opplysningene Personvern 75

76 Medisinske undersøkelser og rustesting Helsekontroll = inngrep i den enkelte arbeidstakers personlige integritet Må ha rettslig grunnlag. Samtykke fra arbeidstaker er ikke et gyldig grunnlag AML kan tillates når det følger av lov/forskrift, ved stillinger som innebærer en særlig risiko og når arbeidsgiver finner det nødvendig for å verne liv og helse Selv om vilkårene er oppfylt kan undersøkelsen ikke gjennomføres ved tvang Personvern 76

77 BRUK AV SOSIALE MEDIER Hvordan begrense eller styre dette?

78 Overvåking av ansattes bruk av itutstyr Arbeidsgiver er pliktig til å lagre logger for bruk av virksomhetens informasjonssystemer i tre måneder. Det er strenge regler for adgangen til å bruke slike logger/elektroniske spor til å overvåke arbeidstaker Arbeidsgiver kan ikke overvåke arbeidstakers bruk av elektronisk utstyr (internettsider man besøker mm) utover det å administrere systemet eller avdekke/oppklare brudd på sikkerheten i systemet Personvern 78

79 Ansattes bruk av sosiale medier Utgangspunkt er at arbeidsgiver ikke kan nekte ansatte å uttale seg i sosiale medier så lenge det skjer på eget utstyr og i fritiden Arbeidsgiver kan bruke styringsretten til å fastsette retningslinjer for bruk av sosiale medier i arbeidstiden Retningslinjene kan benyttes til å lage rutiner for bruk/tidsbruk Brudd på retningslinjer = arbeidsgiver kan reagere med sanksjoner Personvern 79

80 PERSONALMAPPER Hva kan lagres og hvor lenge? Hvem skal ha tilgang?

81 Hva kan lagres i personalmappen? Opplysningene som lagres skal være saklige og relevante Opplysningene skal kun brukes til uttrykkelig angitte formål Eksempler på dokumenter som kan lagres: Søknad på stilling, attester for utdanning/praksis, kursbevis, arbeidskontrakt, dokumenter om lønnsinnplassering og pensjon mv, permisjoner, referat fra medarbeidersamtale, advarsler Personvern 81

82 Hva kan lagres i personalmappen? Eksempler på opplysninger som kan lagres: Navn, adresse, statsborgerskap, telefonnummer, fødselsnummer, kjønn, sivilstand, antall barn og barnas fødselsår, stillingsbetegnelse, opplysninger om utdanning/kurs/praksis, lønn, kontonummer, trekk- og skatteopplysninger, ansettelses- og sluttdato, sluttårsak, fraværsdato, type fravær og varighet, firmabil, utlånte eiendeler, ansattlån, opplysninger om den ansatte er mobiliseringsdisponert Personvern 82

83 Hvor lenge kan opplysningene lagres? Arbeidsgiver kan ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med bruken av personopplysningene Hva betyr det? Advarsler her kan det oppstå uenighet om lagring er nødvendig Personvern 83

84 Hvem skal ha tilgang til personalmappen? Personalmappen inneholder informasjon som den enkelte arbeidstaker anser som personlig Mange av opplysningene er sensitive personopplysninger Innholdet bør derfor være tilgjengelige kun for en svært begrenset krets av personer Innholdet må beskyttes mot uautorisert innsyn Personvern 84

85 Krav om innsyn Arbeidstaker har krav på innsyn i alle opplysninger om seg selv Retten til innsyn gjelder også skyggearkiv Innsyn i kollegers personalmappe KUN hvis kollegaen samtykker Arbeidsgiver har plikt til å behandle et skriftlig krav om innsyn innen 30 dager Arbeidsgiver har en snever adgang til å unnta opplysninger og må eventuelt begrunne det skriftlig med henvisning til unntakshjemmel Personvern 85

86 Retting og sletting fra personalmappen En arbeidstaker som mener at arbeidsgiver oppbevarer opplysninger som er uriktige, ufullstendige eller unødvendige kan kreve retting eller sletting Når et arbeidsforhold opphører skal arbeidsgiver gjennomgå personalmappen og slette unødvendig informasjon Arbeidsgiver kan fortsatt lagre opplysninger om hvem som har jobbet i bedriften, hvor lenge og hva slags stilling/oppgaver vedkommende hadde Personvern 86

87 AVSLUTNING AV ARBEIDSFORHOLD Hva må arbeidsgiver huske på?

88 Avvikling og sletting av epost Når et arbeidsforhold opphører plikter arbeidsgiver straks å avslutte den ansattes epostkasse Å legge inn automatisk videresending av epost til arbeidsgiver for ansatte som har sluttet er heller ikke tillatt OBS mange av sakene for Datatilsynet dreier seg om dette Bedriften risikerer bot Arbeidsgiver skal innen rimelig tid slette epost og filer knyttet til arbeidstakers bruk av bedriftens utstyr Personvern 88

89 Sjekkliste ved avslutning av arbeidsforhold I god tid før siste arbeidsdag bør arbeidstaker pålegges å arkivere virksomhetsrelatert epost og filer, samt slette privat innhold Epostkonto og tilgang til systemer bør avsluttes straks arbeidsforholdet opphører I oppsigelsestiden - benytt fraværsmelding med beskjed om at arbeidsforholdet avsluttes, samt informasjon om hvem i bedriften som er ny kontaktperson Arbeidsgiver må innen rimelig tid gjøre en vurdering av om det er grunnlag for videre lagring eller om resterende eposter/filer skal slettes Personvern 89

90 HVIS VI FÅR TID Gjennomgang av maler fra Arbinn.no

91 Prosess for å sikre riktig håndtering av personopplysninger Datakartlegging Avviksanalyse Internkontrolldokument Personvern 91

92 DATAKARTLEGGING Denne finner du i arbinn.no

93

94

95 AVVIKSHÅNDTERING Denne finner du i Arbinn.no

96

97

98 OPPSUMMERING OM GDPR

99 6 hovedpunkter i GDPR Meldeplikt ved sikkerhetsbrudd Risikovurdering (DPIA) Innebygd personvern Databehandleravtale Sletting retten til å bli glemt Registrertes rettigheter Personvern 99

100 Husk Forankring hos ledelsen Oversikt og kontroll gjennom kartlegging Prosesser og rutiner tilpasset bedriften som løpende vedlikeholdes Personvern 100

101 Fortsatt usikker? Kontakt en advokat i Norsk Industri Telefonvakt for arbeidsrett og tariff tlf nr Personvern 101