REKRUTTERING OG GDPR

Transkript

1 REKRUTTERING OG GDPR Jan Sandtrø, DLA Piper 12. juni juni

2 Hvor er vi nå? General Data Protection Regulation (GDPR) - "Personvernforordningen" Ny personopplysningslov - trer i kraft i juli Ingen "amnestiperiode": Virksomheter må være "innenfor" lovverket før loven og forordningen trer i kraft Erstatter personverndirektivet av 1995 og personopplysningsloven av 2000 og personopplysningsforskriften Forholdet til dagens regelverk juni

3 Hva er nytt / ikke nytt? Ikke nytt: Krav til lovlig behandlingsgrunnlag Grunnleggende personvernprinsipper Grunnleggende begreper Spesielle norske regler: Epostinnsyn (Delvis) nytt: Klarere rettigheter for registrerte Dataportabilitet Innbygd personvern / personvern som standardinnstilling Melding av avvik (klarere regler) Meldeplikt og konsesjonsplikt bortfaller Regler for bruk av og for databehandlere Personvernombud Sanksjonsnivå juni

4 Utfordringer ved rekruttering Informasjonsplikten Personvernerklæring tilstrekkelig? Beste løsning: Rekrutteringssystem / epost Sletting: Så snart det ikke er behov for å behandle opplysningene CV, søknad, attester, uttalelser fra referanser, bakgrunnssjekker, vitnemål, interne vurderinger, intervjureferater, notater For den som fikk jobben > i personalmappe For de som ikke fikk jobben > slettes om det ikke foreligger samtykke slettes over alt Kredittsjekk / bakgrunnssjekk > slettes etter gjennomført sjekk Politiattest/vandelsattest Kommunikasjon På epost? I system? juni

5 Dataportabilitet Rett til å "få med seg" data fra en behandlingsansvarlig Kun data den registrerte selv har avgitt, basert på samtykke eller oppfyllelse av avtale som grunnlag og som behandles automatisert Rett til å få data i et «strukturert, alminnelig, og maskinlesbart format» og også til å overføre fra en behandlings- ansvarlig til en annen Har den ansatte rett til å ta med seg data? juni

6 Innsamling av informasjon / sosiale medier Innsamling etter berettiget interesse (GDPR artikkel 6 nr. 1 bokstav f) Grenser for hva man kan samle inn (grense mot den registrertes interesse eller grunnleggende rettigheter) Slettes etter gjennomført rekruttering (mer senere) juni

7 Personlighetstester Hvem er behandlingsansvarlig og hvem er databehandler? Behandlingsansvarlig: Fysisk eller juridisk person, myndighet, organisasjon mv. som bestemmer formålet med behandlingen, og bestemmer hvilke midler som skal benyttes ved behandlingen Databehandler er: Fysisk eller juridisk person, myndighet, organisasjon som behandler personopplysninger på vegne av den behandlingsansvarlig. Krav til bruk av databehandler: Kun bruke databehandler som gir tilstrekkelige garantier for tekniske og organisatoriske tiltak Må overholde adferdsnormer og sertifiseringskrav Videre bruk av data fra testene Som databehandler? I anonymisert form? Sletting av data og rapporter juni

8 Personlighetstester som profilering Enhver form for automatisert behandling av personopplysninger der målet er å vurdere personlige aspekter ved en fysisk person, særlig for å analysere eller forutsi aspekter knyttet til den registrertes arbeidsprestasjoner økonomiske situasjon helse personlige preferanser eller interesser pålitelighet eller atferd plassering eller bevegelser når dette har rettsvirkning for eller på lignende måte i betydelig grad påvirker vedkommende juni

9 Når kan profilering gjøres? Kun tillatt når det er: nødvendig for å inngå eller gjennomføre en avtale med de registrerte, er hjemlet i lov som samtidig gir tilfredsstillende garantier for personvernet til de registrerte, er basert på eksplisitt og gyldig samtykke. Skal gjennomføres egnede tiltak for å verne den registrertes rettigheter og friheter og berettigede interesser, i det minste retten til menneskelig inngripen, til å uttrykke sine synspunkter og til å bestride avgjørelsen. Ikke benyttes på særlige kategorier opplysninger utenom i spesielle tilfelle Informasjonsplikt om at det skjer automatisering/profilering, og logikken og betydningen for behandlingen for den registrerte De registrerte kan motsette seg automatiserte individuelle avgjørelser, herunder profilering Må foreligge dokumenterte rutiner juni

10 Råd for overholdelse av GDPR Ha klare og gode rutiner (skriftlig) Innsyn Korrigering (retting) Sletting Ha oversikt over hvor personopplysninger lagres og hvordan de behandles Behandlingsgrunnlag Samtykker? Sikre dokumentasjon Informere de registrerte (ansatte) Informasjonssikkerhet Tilgangskontroll ("need to know") Bruk av databehandlere (skytjenester) Bruk av epost juni

11 Jan Sandtrø juni