NHO s HR dager Kristin Tingberg Sandvik Legal Head & Compliance Officer Northern Europe

Transkript

1 NHO s HR dager 2017 Kristin Tingberg Sandvik Legal Head & Compliance Officer Northern Europe

2 Tema 1. Kort om Adecco Group 2. Kort om personvern 3. EUs nye forordning hva betyr det for din virksomheten? 4. Innblikk i Adeccos arbeid - implementering av nytt regelverk The Adecco Group template The Adecco Group August,

3 The Adecco Group Worldwide full time employees 60 countries and territories around the world offices globally associates working at clients every day The Adecco Group is a Fortune Global 500 company Listed on the SIX Swiss Exchange (ADEN) Omsetning EUR 22,7 milliarder (2016) Verdensledende på Bemanningsløsninger Utleie av arbeidstakere Rekruttering Karriereveiledning Outsourcing Konsulenttjenester

4 Adecco Gruppen I Norge Landsdekkende 36 lokasjoner Omsetning NOK 2,7 milliarder (2016) 400 ansatte Over medarbeidere i arbeid hver dag Ca jobbsøkere hver dag >700 rekrutteringer til faste stillinger per år Tjenesteområder: Utleie av arbeidstakere Rekruttering Karriereveiledning og omstilling (Naviga) Outsourcing Medlem av NHO 9 sertifiseringer (inkl. ISO og Revidert Arbeidsgiver NHO)

5 Nye regler om personvern i kraft 25. mai 2018 (også i Norge) Ingen overgangsregler The Adecco Group August,

6 Endret landskap - hele verden Europa: GDPR Ungarn: Nye krav om personvern på arbeidsplassen USA: Kongressen forventes å harmonisereregelverk for sikkerhetsbrudd Kina: Ny cyber security lov fra juni 2017 Japan: Nye restriksjoner for overføring av personopplysninger fra mai 2017 Argentina: Forslag til personvernregler på høring Australia: Ny lov om avviksmelding - databrudd fra feb 2018 Strenger krav er her for å bli. Vil endre måten virksomheter samler inn og bruker personopplysninger. Økende bevisshet og fokus på personvern fra individer, kunder og samarbeidspartnere. Mer sofistikerte cybersecurity trussler = Sterkere fokus på IT sikkerhet. 6

7 EUs personvernforordning (GDPR) - Trer i kraft i EU 25. mai blir gjort gjeldende i Norge gjennom EØS-avtalen - «One continent one law» - Hvor stort spillerom får landene i EU (EØS)? En del unntak og muligheter for nasjonal tilpasning - likevel Særlig innen arbeidsforhold: «Processing in the context of employment» - En del vil være som i dag, men også mye nytt The Adecco Group template The Adecco Group August,

8 EUs personvernreform hvorfor endre reglene? The Adecco Group template The Adecco Group August,

9 Hva er personvern? - Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger - Den enkelte eier personopplysningene om seg selv - For alle andre f.eks en arbeidsgiver er spørsmålet: Har vi rett til å bruke personopplysningen? The Adecco Group template The Adecco Group August,

10 Hva er Personopplysninger? Alle opplysninger og vurderinger som kan knyttes til deg som en enkeltperson; Navn Adresse Telefonnummer E-postadresse IP-adresse CV Bilnummer Bilder Fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) Fødselsnummer (både fødselsdato og personnummer) Mm. Sensitive personopplysninger f.eks helseinformasjon og fagforeningstilhørighet (Tilleggskrav) The Adecco Group template The Adecco Group August,

11 Hva er Behandling av personopplysninger? Enhver bruk av opplysningene; Innsamling Registrering Lagring Analyse Sammenstilling med annen informasjon Beslutningsgrunnlag Utlevering Sletting Mm. Normalt en kombinasjon av ulike behandlinger The Adecco Group template The Adecco Group August,

12 Hva gir andre rett til å bruke? All behandling av personopplysninger krever behandlingsgrunnlag ( 8) Samtykke ; Fra personen Lovhjemmel; f.eks lovpålagt sykefraværsoppfølging Avtale; Behandling nødvendig for å oppfylle en avtale med den registrerte, f.eks en kandidat i et rekrutteringprosess Mv. Lovverket legger føringer for hva som kreves for den enkelte behandling Særlige regler for noen typer opplysninger, for eksempel «special categories of personal data» sensitive personopplysninger som helseopplysninger, fagforeningstilhørighet mv. Nye behandlingsmåter og formål krever i utgangspunktet nytt samtykke / nytt grunnlag The Adecco Group August,

13 HR og personvern Alle prosesser involverer behandling av personopplysniger: - Rekruttering og ansettelse - Kommunikasjon og samhandling - Utvikling av medarbeidere - Logistikk - Kontroll og overvåkning - Effektivisering - Sykefraværsoppfølging - Avslutning av arbeidsforhold - Forretningsutvikling - Om mye mer. The Adecco Group template The Adecco Group August,

14 Nytt regelverk Utvalgte emner The Adecco Group template The Adecco Group August,

15 Grunnleggende prinsipper - Saklig, lovlig og transparent - Formålsbegrensning - Ikke mer enn nødvendig («data minimisation») - Datakvalitet - Sikkerhet, integritet og konfidensialitet - Ansvarlighet The Adecco Group August,

16 Alle virksomheter får nye plikter Virksomheter har omfattende forpliktelser som «behandlingsansvarlig» - og får nye plikter; - Alle må ha lovlig behandlingsgrunnlag for all behandling av personopplysninger - Alle skal ha forståelig informasjon om hvordan de bruker personopplysninger - Alle må kunne oppfylle enkeltpersoners (borgernes) nye rettigheter - Alle skal vurdere risiko- og personvernkonsekvenser - Alle må kunne gjøre rede for og dokumentere = Systemer og internkontroll og informasjonssikkerhet - Alle skal bygge inn personvern i nye løsninger Privacy-by-design - Mange virksomheter må opprette personvernombud - Alle databehandlere får nye plikter - Alle får nye krav til avvikshåndtering - Alle bør samarbeide i eget nettverk og følge bransjenormer The Adecco Group template The Adecco Group August,

17 Forslag om særregulering på arbeidslivsområde Monitorering av de ansattes bruk av it-systemer personopplysningsforskriften 9-2 og 7-11 oppheves nødvendig av hensyn til tilfredsstillende drift og informasjonssikkerhet Innsyn i e-post, filer, aktivitetslogger mv. E-post, personlig filområde og elektroniske kommunikasjonsmedier Stilt til disposisjon av arbeidsgiver til bruk i arbeidet Vilkår og prosedyrer videreføres i det vesentlige Aktivitetslogger i virksomhetens informasjonssystemer omfattes (visse unntak for prosedyrene) Kameraovervåkning på arbeidsplass Kamerakapittelet i personopplysningsforskriften videreføres i det vesentlige Begrenset virkeområde til "på arbeidsplass" The Adecco Group template The Adecco Group August,

18 Rettigheter for de registrerte (arbeidstakere, kunder osv.) Klare rettigheter og noen nye - Rett til informasjon hva behandler arbeidsgiver og hvorfor etc. - Rett til innsyn - Retting og sletting - Rett til å begrense behandling - Dataportabilitet - Motsette seg profilering (Analysering av personopplysninger for å avdekke adferd mv.) - Få beskjed hvis noe går galt - Osv. The Adecco Group template The Adecco Group August,

19 Personvernombud Flere virksomheter må ha personvernombud; - Offentlige virksomheter (unntatt domstolene) - Kjerneaktiviteten består i å regelmessig og systematisk overvåke personer i stort omfang - Virksomheter som behandler sensitive personopplysninger i stort omfang Ombudets rolle og oppgaver DPOs [personvernombud] cannot fulfil duties outside the scope of data protection which would result in a conflict of interest. Senior management positions which involve decision-making around how and why personal data is used will conflict with the role of the DPO. (EU) The Adecco Group template The Adecco Group August,

20 Forholdet mellom virksomheten og en Databehandler Selskap / Arbeidsgiver Behandlingsansvarlig bestemmer formålet med behandlingen Databehandler behandler på vegne av behandlingsansvarlig Databehandler behandler på vegne av behandlingsansvarlig IT drift CRM-system, HR-system Rekrutteringsbyrå lønn og pensjon osv The Adecco Group template The Adecco Group August,

21 GDPR kjennetegn ved det nye Styrke personers rett til kontroll over egne personopplysninger Styrkede (og nye) rettigheter for individer Nye mekanismer for selv-regulering: code of conduct Gjelder virksomheter utenfor EU/EØS Høyere bøter (opp til 4% av global omsetning eller 20 MEUR) og name and shame Harmoniserte regler i EU/EØS GDPR Kjennetegn Lokale Datatilsyn styrkes 21

22 Plassering av (GDPR) regelverket i Adecco The Adecco Group August,

23 Grupperinger Adecco behandler Personopplysninger om Ansatte Alle typer personopplysninger, inkl sensitive personopplysninger Medarbeidere Alle typer personopplysninger, inkl. sensitive personopplysninger Kandidater Alle typer personopplysninger, kan ikke utelukke at det behandles sensitive personopplysninger Kunder Navn, e-post, telefonnr., adresse kontaktreferanser i kraft av stilling Leverandører Navn, e-post, telefonnr., adresse kontaktreferanser i kraft av stilling The Adecco Group August,

24 Hvorfor er etterlevelse viktig for oss? Adecco-gruppen tilbyr tjenester til individer via nett / kandidatportaler Registrering av personopplysninger (personprofiler) er avgjørende for bruk av tjenesten (skaffe individer oppdrag/jobb) Adecco er avhengig av at personer vil registrere sine personopplysninger hos oss Behandling av personopplysninger (kandidater og medarbeidere) er en grunnleggende forutsetning for Adecco-gruppens forretningskonsept Kunnskap om personvern = nødvendig forutsetning for å kunne opptre profesjonelt i markedet Ingen personopplysninger = ingen Adecco Group Det må oppleves profesjonelt og trygt å være kandidat hos oss også på dette område The Adecco Group August,

25 Andre sentrale spørsmål for oss Databehandleravtale? Nødvendig ved bruk av tjenesteleverandører (Databehandler) som skal behandle personopplysninger på vegne av Adecco Et betydelig antall IT-systemleverandører globalt og lokalt Overføring til land utenfor EU/EØS? Bare tillatt til stater som sikrer en forsvarlig behandling (EU/EØS) og land med tilstrekkelig beskyttelsesnivå USA utfordrende p.t Helpdesker i India Et betydelig antall IT-systemleverandører globalt og lokalt The Adecco Group August,

26 Hva må vi og alle andre ha kontroll på nå? Oversikt over hvilke personopplysninger vi behandler Hvilke? Hvor kommer de fra? Hvilket rettslig grunnlag har vi for å behandle ( bruke ) opplysningene slik vi gjør? At vi oppfyller dagens rettslige krav særlig behandlingsgrunnlag, Internkontroll og informasjonssikkerhet De fleste har da kommet et godt stykke på vei Hva som kommer nytt med GDPR Hvilke rutiner har vi og hva som må oppdateres? Antagelig mest tidkrevende vi har en omfattende To-Do-liste The Adecco Group August,

27 GDPR Programmet i Adecco Et innblikk The Adecco Group August,

28 Bakgrunn - organisering Globalt forankret Program Ledes av Legal Utarbeidet omfattende To-Do-liste Månedlige statusmøter Kvartalsvise Workshops Tett samarbeid med IT / IT Security The Adecco Group August,

29 Sentralt Adecco s Data Protection Program er ikke et Prosjekt, men en endring for hele organisasjonen Personopplysninger er det helt sentrale for vår virksomhet og for alle våre tjenester Personopplysninger behandles i hele vår organisasjon - av alle Vårt Data Protection Program berører derfor alle roller i vårt selskap Personvern vil forbli et fokus! 29

30 GDPR - Globalt forankret program ledet av Legal Hovedformål: Implementere nye krav i henhold til GDPR innen mai 2018 så likt som mulig i Adecco Group Jf. EU s formål One continent one law Prosessen I grove trekkk: Datakartlegging ( Data Mapping ) analyse av status Utgangspunkt i IT-systemene Kan tas en annen tilnærming: f.eks prosesser i virksomheten hvor personopplysninger behandles HRprosesser Forstå hva som er nytt med regelverket (rettslige krav) Identifisere tiltak for å møte nye regler basert på kartlegging av status hos oss Internkontroll oppdatere og forbedre The Adecco Group August,

31 Bygger videre på prosjekt fra 2016 Privacy-by-Design Nytt IT-system i Nord-Europa 2016 USA basert gründerselskap Styrt ved Legal To-Do-Liste Hvert møte dokumentert og tracket Testing the Tool Er personvernreglene implementert? (bilde!) Erfaringer: Tett samarbeid med IT og Business/brukere Helt sentralt! Felles forståelse for det helt grunnleggende Avgjørende! Ble noe annet og mer enn et Privacy-by-design prosjekt Varsellampene bør ringe om man forelsker seg i gründere lokalisert i USA The Adecco Group August,

32 Generell utfordring kunnskap om regelverket Opplæring / bevisstgjøring sentralt for å lykkes på sikt Hva er det vi snakker om? Hvorfor er dette viktig for oss? Plassering av regelverket i Adecco Ambassadører internt Opplæring og bevisstgjøring i formelle og uformelle fora The Adecco Group August,

33 Fokus for øvrig - Adecco Gruppen globalt Bevisstgjøring og samarbeid på tvers av landene Group Policy Data Protection Obligatorisk e-læringsmodul Opplæring i bruk av nye IT-systemer, herunder hvordan og hvorfor personvern er innebygget Samarbeid Legal ressurser for IT / IT-procurement Legal involvert i design, utvikling og implementering av IT-systemer for kjernevirksomheten Internt krav om lokalt Personvernombud The Adecco Group August,

34 Data Protection Program: Samhandling med andre funksjoner Confidentiality, availability, integrity Data encryption Event monitoring Intrusion detection, containment and remediation Access control Data Security: It protects personal data. Implements technical controls. Data leakage prevention Privacy: protecting individual s data (e.g. right to be forgotten, consent given by candidates/associates, data retention and deletion, role of DPO, privacy by design). Implements non technical controls. Country Management : Acountable and responsible for privacy compliance. Compliance: Personal data as a risk. Monitor and assure compliance. Internal Audit: As a policy to audit through a set of pre-defined controls. 34

35 Internkontroll Særlig om strengere dokumentasjonskrav The Adecco Group August,

36 GDPR Strengere dokumentasjonskrav Forordningen (GDPR) stiller strengere krav til dokumentert Internkontroll for personopplysninger og datasikkerhet NB! De systematiske tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse Det skal særlig legges vekt på Informasjonssikkerhet IT må involveres The Adecco Group August,

37 Globalt system for Internkontroll 2 første pkt på vår ToDolisten No. Priorit y Title of the To Do Art. GDPR Description of the To Do Legal colleagues responsibl e Country Legal / Local Data Protection Responsible IT / IT Security Other Timeline Status [ ] Apply in US? 0 1 GDPR Compliance IT tool 24 Select, customize and launch tool, including training, [ ] [ ] [ ] 0 1 Data inventory and Data mapping 30 a) Record all personal data and associated information [ ] has and uses (i.e. Data Inventory) b) Identify how personal data moves across various systems, how data is shared and organized and define the purpose of the data flows (i.e. Data Mapping) [ ] Perform a local data inventory and data mapping per. GDPR IT tool will allow to build both Data inventory and Data mapping [ ] The Adecco Group August,

38 ToDo-listen - noen flere punktene Oppdatere leverandør kontrakter (inkl. krav til Databehandlere) Oppdatere samtykkeerklæringer Oppdatere Privacy Policies Gjennomgå og revidere Group Data Protection Policy (Informasjonssikkerhet) Oppdater gjeldende prosesser for innsyn, oppdatering, retting, sletting og retten-til-å-bli-glemt Diskuter med IT hvordan prosessene kan implementeres Oppdater prosess for avvikshåndtering Opplæringsmateriale for marked, HR m.fl. Mv The Adecco Group August,

39

40 Dere bør stille dere relevante spørsmål For eksempel: Er personvern og compliance viktig for oss hvorfor? Hva kan være konsekvenser dersom vi ikke oppfyller regelverket? Hvor er vi? Har vi oversikt over hvilke personopplysninger vi behandler? Hva er de største risikoene? Hvor skal vi? Hva krever regelverket av vår virksomhet og er det noe vi må gjøre annerledes? Hvordan kommer vi dit? Har avdelingene og personalledere mv. tilstrekkelig kunnskap om regelverket? Har vi de verktøyene og systemene vi trenger? Trenger vi bistand? The Adecco Group August,

41 Mer systematisk Innsikt Kartlegge og analysere Identifisere partnere Lag en plan Forståelse for regelverket Hva krever det av virksomheten? Skaffe oversikt over hvilke opplysninger dere behandler Klargjøre hvilke krav forordningen stiller Kartlegge partnere (IT leverandører mv.) og få oversikt over avtaler Kartlegge behov for endringer i avtaler, retningslinjer mv. Tiltak Endringer Informasjonssikkerhet GAP analyse Internkontroll og dokumentasjon Risikokartlegging og konsekvensanalyse Juridisk, organisatorisk og teknisk compliance vurdering The Adecco Group template The Adecco Group August,

42