Frokostseminar Haavind 15. februar Kristin Tingberg Sandvik Legal Head and Compliance Officer Northern Europe

Transkript

1 Frokostseminar Haavind 15. februar 2017 Kristin Tingberg Sandvik Legal Head and Compliance Officer Northern Europe

2 Adecco Group Worldwide full time employees 60 countries and territories around the world offices globally associates working at clients every day The Adecco Group is a Fortune Global 500 company Listed on the SIX Swiss Exchange (ADEN) Omsetning EUR 22 milliarder (2015) Verdensledende på Bemanningsløsninger Utleie av arbeidstakere Rekruttering Karriereveiledning Outsourcing Konsulenttjenester

3 Adecco Gruppen I Norge Landsdekkende 36 lokasjoner Omsetning NOK 2,7 milliarder (2015) 400 ansatte Over medarbeidere i arbeid hver dag Ca jobbsøkere hver dag >700 rekrutteringer til faste stillinger per år Tjenesteområder: Utleie av arbeidstakere Rekruttering Utvikling og omstilling (Naviga) Outsourcing Medlem av NHO 9 sertifiseringer (inkl. ISO og Revidert Arbeidsgiver NHO)

4 Plassering av (GDPR) regelverket i Adecco The Adecco Group August,

5 Grunnleggende og sentrale begreper ( 2) Personopplysninger Alle personopplysninger og vurderinger som kan knyttes til en enkeltperson (navn, e-postadresse, telefonnummer, bostedsadresse, IP-adresse, mv.) Sensitive personopplysninger Rasemessig eller etnisk bakgrunn. Politisk eller filosofisk eller religiøs oppfatning. At en person har vært mistenkt siktet tiltalt eller dømt for en straffbar handling. Helseforhold. Seksuelle forhold. Medlemsskap I fagforening (Ikke fødselsnr. egen bestemmelse 12) Behandling av personopplysninger Enhver bruk av personopplysninger normalt en kombinasjon av ulike behandlinger Behandlingsansvarlig Databehandler Samtykke The Adecco Group August,

6 Andre sentrale tema for Adecco Databehandleravtale ( 15) Nødvendig ved bruk av tjenesteleverandører (Databehandler) som skal behandle personopplysninger på vegne av Adecco Globalt et betydelig antall IT-systemleverandører Overføring til land utenfor EU/EØS ( 29 flg.) Bare tillatt til stater som sikrer en forsvarlig behandling (EU/EØS) og land med tilstrekkelig beskyttelsesnivå USA utfordrende p.t Helpdesker i India The Adecco Group August,

7 Hvorfor er etterlevelse viktig for oss? Regelverket er relevant for alle virksomheter - særlig bevisste bør de som tilbyr tjenester på nett være Selskapene I Adecco tilbyr tjenester til individer via nett / kandidatportaler Registrering av personopplysninger / personprofiler er avgjørende for bruk av tjenesten (skaffe individer oppdrag) Adecco er avhengig av at personer vil registrere sine personopplysninger hos oss Behandling av personopplysninger (kandidater og medarbeidere) er en grunnleggende forutsetning for Adecco-gruppens forretningskonsept Kunnskap om personopplysningsvernet en nødvendig forutsetning for å kunne opptre profesjonelt I markedet Ingen personopplysninger ingen Adecco Group Det må oppleves profesjonelt og trygt å være kandidat hos oss The Adecco Group August,

8 Hva må vi og alle andre ha kontroll på nå? Oversikt over hvilke personopplysninger vi behandler Hvilke? Hvor kommer de fra? Hvilket rettslig grunnlag har vi for å behandle ( bruke ) opplysningene slik vi gjør? At vi oppfyller dagens rettslige krav særlig behandlingsgrunnlag og Internkontroll De fleste har da kommet et godt stykke på vei Hva som kommer nytt med GDPR Hvilke rutiner har vi og hva må oppdateres? Antagelig mest tidkrevende, jf. vår ToDO liste The Adecco Group August,

9 Grupperinger Adecco behandler Personopplysninger om Ansatte Alle typer personopplysninger, inkl sensitive personopplysninger Medarbeidere Alle typer personopplysninger, inkl. sensitive personopplysninger Kandidater Alle typer personopplysninger, kan ikke utelukke at det behandles sensitive personopplysninger Kunder Navn, e-post, telefonnr., adresse kontaktreferanser I kraft av stilling Leverandører Navn, e-post, telefonnr., adresse kontaktreferanser I kraft av stilling The Adecco Group August,

10 Generelt globalt fokus - Adecco Gruppen Bevisstgjøring og samarbeid Group Policy Data Protection Obligatorisk e-læringsmodul Opplæring I bruk av nye IT-systemer, herunder hvordan og hvorfor personvern er innebygget Samarbeid Legal ressurser for IT / IT-procurement Legal involvert I design, utvikling og implementering av IT-systemer for kjernevirksomheten Internt krav om lokalt Personvernombud The Adecco Group August,

11 Generell utfordring kunnskap om regelverket Opplæring / bevisstgjøring sentralt for å lykkes på sikt Hva er det vi snakker om? (ref. definisjonene i 2) Hvorfor er dette viktig for oss? Plassering av regelverket i Adecco Ambassadører internt Opplæring og bevisstgjøring I formelle og uformelle fora The Adecco Group August,

12 GDPR Prosjektet i Adecco Et innblikk The Adecco Group August,

13 Bakgrunn - organisering Globalt forankret prosjekt Ledes av Legal Utarbeidet omfattende ToDo-liste Måndelige statusmøter - Skype Kvartalsvise Workshops Tett samarbeid med IT / IT Security The Adecco Group August,

14 GDPR - Globalt forankret prosjekt ledet av Legal Basert på ToDo liste og erfaring fra tidligere prosjekt Hovedformål: Implementere nye krav i henhold til GDPR innen mai 2018 så likt som mulig i Adecco Group Jf. EU s formål One continent one law Prosessen - Oppsummert Datakartlegging ( Data Mapping ) analyse av status Utgangspunkt I IT-systemene Kan tas en annen tilnærming: f.eks prosesser I virksomheten hvor personopplysninger behandles Identifisere forskjeller (rettslige) Identifisere tiltak Internkontroll oppdatere / forbedre The Adecco Group August,

15 ToDo-listen 35 punkter No. Priority Title of the To Do Art. GDPR Description of the To Do Legal colleagu es respons ible Country Legal / Local Data Protection Responsible IT / IT Security Other Timeline (to be finalized completely) Status [ ] Does it apply in US? 0 1 GDPR compliance IT tool 24 [ ] [ ] S NA NA 0 1 Data inventory and data mapping 30 [..] [ ] Yes Yes 1 1 Client contracts Adecco acting as data controller 14, 15-20, 24, 26, 30, 32, 33, 34, 44, 82 [ ] NA [ ] Yes No 2 1 Client contracts Adecco acting as data processor [ ] 14, 15-20, 24, 28, 30, 32, 33, 34, 44, 82 [ ] NA [ ] Yes No The Adecco Group August,

16 ToDo-listen noen flere av de 35 punktene Update Supplier Contracts.(Inkl. krav til Databehandlere) Update consent forms (Samtykkeerklæringer) Update Privacy Policies (Retningslinjer for personvern) Review and revise Group Data Protection Policy (Informasjonssikkerhet) Update the current access, update, objection and deletion and the right to be forgotten processes and create a new process for restrictions to processing (Prosesser for ivareta retten til innsyn, retting, sletting, retten til å bli glemt mv.) IT: Discuss in how to implement those processes Mv The Adecco Group August,

17 Internkontroll Særlig om strengere dokumentasjonskrav The Adecco Group August,

18 GDPR Strengere dokumentasjonskrav Forordningen (GDPR) stiller strengere krav til dokumentert Internkontroll for personopplysninger og datasikkerhet NB! De systematiske tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse Det skal særlig legges vekt på Informasjonssikkerhet IT må involveres The Adecco Group August,

19 Globalt system for Internkontroll 2 første punktene på ToDo-listen No. Pri ori ty Title of the To Do Art. GD PR Description of the To Do Legal colleagu es respons ible Country Legal / Local Data Protection Responsible IT / IT Security Other Time line Status [ ] Apply in US? 0 1 GDPR Compliance IT tool 24 Select, customize and launch tool, including training, [ ] [ ] [ ] NA NA 0 1 Data inventory and Data mapping 30 [ ] GDPR IT tool will allow to build both Data inventory and Data mapping [ ] Yes Yes The Adecco Group August,

20 Samarbeid med IT /IT Security Data Inventory and Data mapping Implementation of IT tool(s) for GDPR compliance Access rights management to IT systems Implementation of updated consents and privacy notices in IT systems Implementation of processes to satisfy individual s rights of access, update, deletion, objection. Data Portability Implementation of Privacy by design and Privacy by default Data Breach management, including prevention, reaction and notification Review of Group IT policies and standards according to GDPR Crown Jewels exercise according to GDPR The Adecco Group August,

21