Arbeidsgivers personvernplikter

Transkript

1 01 Grunnleggende om personvern 02 Informasjon, innsyn og andre rettigheter Arbeidsgivers personvernplikter Frokostseminar 19. juni 2018 Christel Søreide, Ellen Røyneberg og Nora M. Knutrud 03 Utlevering av opplysninger og bruk av databehandler 04 Sikkerhet og brudd på personopplysningssikkerheten 05 Sletting 06 Spesialregler

2 01. Kort om regelverket EUs personvernforordning, 2016/679 Erstatter personopplysningsloven (no. 31 av 14. april 2000) Blir norsk lov ved personopplysningslov (no. 54 av 28. mai 2018) Særskilte norske regler Trer i kraft tidligst i juli PAGE NO 2

3 01. Grunnleggende om personvern Sentrale definisjoner Personopplysninger: Opplysninger om en identifisert eller identifiserbar person Sensitive opplysninger: Personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, genetiske og biometriske opplysninger, helseopplysninger eller opplysninger om seksuelle forhold/orientering Behandling: Enhver bruk av personopplysninger (for eksempel innsamling, lagring, utlevering) elektronisk eller i et register. Personvernprinsippene Lovlighet: Krav om behandlingsgrunnlag Formålsbegrensninger: Krav om uttrykkelig angitte formål. Opplysningene kan ikke behandles til inkompatible formål. Dataminimering: Opplysningene skal avgrenses til det som er nødvendig for formålet. Riktighet: Opplysningene skal være korrekte og oppdaterte. Lagringsbegrensning: Opplysningene skal slettes/anonymiseres når ikke lenger nødvendig. Integritet: Opplysningene skal sikres mot utilsiktet/uautorisert endring, sletting, tilgang, utlevering. PAGE NO 3

4 01. Behandlingsgrunnlag Aktuelle behandlingsgrunnlag i arbeidsforhold Aktuelle behandlingsgrunnlag: Oppfyllelse av ansettelsesavtalen, Oppfyllelse av rettslige forpliktelser og Arbeidsgivers berettigete interesser. Behandlingsgrunnlag for sensitive opplysninger og straffbare forhold: Når det er nødvendig for å oppfylle arbeidsrettslige rettigheter eller plikter Samtykke: Sjeldent aktuelt eller egnet som behandlingsgrunnlag. PAGE NO 4

5 02. Ansatte skal ha informasjon om behandlingen GDPR art. 13 og 14 Hva skal det gis informasjon om Formål og rettslig grunnlag for behandlingen De berørte kategorier av personopplysninger Eventuelle mottakere eller kategorier av mottakere Lagringstid eller kriteriene for å fastsette lagringstid Retten til å be om innsyn, retting, sletting, begrenset behandling og dataportabilitet Hvilken kilde informasjonen stammer fra Om det foreligger et lovfestet eller avtalefestet krav om å gi personopplysningene, samt om man har plikt til å gi opplysningene og konsekvensen dersom dette ikke gjøres Praktiske råd Personvernerklæring for ansatte Informasjon ved ansettelse Henvisning i arbeidsavtale sikrer fleksibilitet Oppdateringer Intranett eller personalhåndbok PAGE NO 5

6 02. Ansatte kan be om innsyn i sine personopplysninger GDPR art. 15 Hva betyr dette? Hvor raskt må vi svare? Kontroll av at det er rette vedkommende? Praktiske råd Kopi av dokumentene Ikke tilstrekkelig med en oversikt Uten ugrunnet opphold Senest innen 30 dager Noen unntak, men nok ikke veldig praktisk for arbeidsforhold Treffe alle rimelige tiltak for å kontrollere identiteten til en registrert som anmoder om innsyn Vurdering av sensitivitet av opplysningene opp mot risiko Gode systemer Dedikert(e) ansvarlig(e) Gi først innsyn i personalmappen dersom den ansatte vil ha innsyn i noe annet, må det spesifiseres E-post? Mistanker? PAGE NO 6

7 02. Praktisk viktige unntak fra retten til innsyn Personopplysningsloven 16 Unntak Straffbare handlinger Det er påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring eller rettslig forfølging av straffbare handlinger Intern saksforberedelse Utelukkende finnes i tekst som er utarbeidet for den interne saksforberedelse, og som heller ikke er utlevert til andre, så langt det er nødvendig å nekte innsyn for å sikre forsvarlige interne avgjørelsesprosesser Vern av rettigheter eller friheter Vern av den ansattes interesser eller andres rettigheter og friheter Eksempel Undersøkelser av om det er begått straffbare handlinger, for eksempel varslingssaker eller granskninger Forberedende vurderinger i forbindelse med en bonusutbetaling, forberedelser til en advarsel, dokumenter i en varslingssak og lignende. Det å gi innsyn kan krenke andres personvern, for eksempel i en varslingssak. Begrunnelse med informasjon om årsakene dersom innsyn ikke gis, skal gis senest en måned etter mottak av anmodningen PAGE NO 7

8 02. Andre rettigheter, GDPR art. 16, 17, 18, 20 Kan ansatte be om å få sine data rettet eller slettet? Rettet hvis objektivt uriktige opplysninger Slettet bare hvis det ikke lenger er rettslig grunnlag/formålet er oppfylt. Kan ansatte be om å få sine data overført (dataportabilitet)? Gjelder for opplysninger den ansatte selv gir Hvis opplysningene er basert på avtale eller samtykke Ikke veldig praktisk for arbeidsforhold CV og attester Kan ansatte be om begrenset behandling? Behandlingen settes "på vent" For eksempel hvis arbeidstakeren bestrider riktigheten av opplysningene, kan behandlingen begrenses inntil det er kontrollert. Lite praktisk? PAGE NO 8

9 03. Utlevering av personopplysninger og bruk av databehandler Utlevering til behandlingsansvarlige Typetilfeller: Utlevering til politiet i forbindelse med etterforskning, fagforening, advokater i forbindelse med granskning/undersøkelser, til et annet selskap i forbindelse med oppkjøp, til oppdragsgiver i forbindelse med anbud etc. Aktuelle behandlingsgrunnlag: Rettslige forpliktelser, behov for gjøre gjeldende eller forsvare et rettskrav eller berettiget interesse. Bruk av databehandlere Typetilfeller: Leverandører av lønnssystemer eller IT-systemer. Krever ikke særskilt behandlingsgrunnlag. Må inngå en databehandleravtale som overholder kravene i GDPR. Informasjon om utleveringen, f.eks. gjennom personvernerklæring eller i forbindelse med at utlevering gjennomføres, med mindre unntak gjør seg gjeldende. PAGE NO 9

10 04. Sikkerhet Arbeidsgiver må implementere egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen og ivareta konfidensialitet, tilgjengelighet, integritet og robusthet. Tilgangskontroll Elektronisk overføring av ansattopplysninger Leverandørers sikkerhet Opplæring Sikre at tilgang begrenses til de som har tjenstlig behov. Verifisere mottakerens identitet. Sørge for at leverandørene sikrer et egnet personvern. Sikkerhetsinstruks/rutine tilgjengelig på intranett o.l. Passordbeskyttelse/fysisk beskyttelse av opplysninger. Unngå ustrukturert lagring. Unngå lagring av fysiske dokumenter, med mindre sikker lagring. Logge endringer som gjøres for å sikre integritet. Ikke sende sensitive opplysninger/fødselsnummer på epost, med mindre kryptering benyttes (ikke et eksplisitt krav etter GDPR, men en forutsetning). Andre følsomme opplysninger (advarsler etc.) Databehandleravtaler. SLA-avtaler som sikrer oppetid, backup og kontinuitet. Risikovurdering/revisjon (Q&A til leverandørene, gjennomgang av sikkerhetsdokumentasjon etc.) Opplærings-questback til de ansatte PAGE NO 10

11 04. Brudd på personopplysningssikkerheten/avvik Plikter ved brudd på personopplysningssikkerheten Brudd på personopplysningssikkerheten: Utilsiktet eller ulovlig tilintetgjøring, tap, endring eller ikke-autorisert utlevering av eller tilgang til personopplysninger. Eksempler: Feilsendte eposter med personopplysninger, hacking, langvarig nedetid uten back-up mekanismer. Plikt til å varsle Datatilsynet innen 72 timer hvis det er nokså trolig at bruddet medfører en personvernrisiko. Meldingen til Datatilsynet skal inneholde beskrivelse av bruddet, tiltak som er iverksatt etc. Plikt til å varsle den registrerte/ansatte: der det er sannsynlig at bruddet medfører høy personvernrisiko. Praktiske råd Ansvar: Oppnevne dedikert person/personer som har operativt ansvar ved sikkerhetsbrudd. Opplæring av ansvarlige: Sørge for at de ansvarlige har nødvendig kunnskap og er kjent med varslingsordningen i Altinn. Rutiner: Etablere rutiner som er tilgjengelige for de ansatte, f.eks. på intranett. Opplæring av de ansatte: Lære opp de ansatte slik at de vet hva et brudd på personopplysningssikkerheten er. Heller varsle en gang for mye enn en gang for lite. "Mal" for varsel til de registrerte: Utarbeide en mal som legger opp til at den registrerte får tilstrekkelig informasjon, men som ikke skaper unødig panikk. PAGE NO 11

12 05. Sletting av personopplysninger Personopplysninger skal slettes når de ikke lenger er nødvendig for formålet de var innhentet for Hva betyr dette i praksis? Konkrete vurderinger ut i fra behovet for opplysningene Etablere rutiner for sletting; tidsangivelse for hvor lenge ulike kategorier av opplysninger skal lagres Rutinen kan utlede en hovedregel, men likevel sikre at det kan gjøres en konkret vurdering ved behov for lenger oppbevaring i en konkret sak for eksempel Forholdet til lovpålagte plikter til oppbevaring Praktiske råd Ta en gjennomgang nå mange har tidligere tatt vare på alt Gode systemer: Merking av dokumenter og strukturert lagring Informasjon lagret for latente formål bør lagres i arkiver med begrenset tilgang Viktig å rutiner som det er mulig å etterleve i praksis PAGE NO 12

13 05. Sletting av personopplysninger typetilfeller 1. Rekrutteringsdata For ansatte som ikke fikk stillingen Notater fra referanser, bakgrunnssjekk, personlighetstester og notater fra intervju CV, attester etc. 2. Slettes under ansettelsesforholdet Advarsler og andre disiplinærreaksjoner Referat fra medarbeidersamtaler og vurderinger av ansatte Varslinger og varslingssaker Lønns- og bonusvurderinger 3. Slettes etter opphør Innholdet i personalmappen på opphørstidspunktet Arbeidsavtale, lønnsjusteringer og stillingsbeskrivelse CV, attester etc. Lønns- og bonushistorikk Sykehistorikk Referat fra medarbeidersamtaler, advarsler etc som ligger i personalmappen på opphørstidspunktet fordi det ikke er sletter PAGE NO 13

14 06. Spesialregler Innsyn i e-post Kameraovervåkning Tidligere regulert i personopplysningsforskriften kapittel 9 Reglene videreføres Inkluderer også aktivitetslogger Plassering av reglene i forskrift til arbeidsmiljøloven Tidligere regulert i personopplysningsforskriften kapittel 8 Reglene videreføres Bare for arbeidsforhold hva betyr dette i praksis? Plassering av reglene i forskrift til arbeidsmiljøloven PAGE NO 14

15