Behandling av personopplysninger ved personaladministrasjon

Like dokumenter
INNSYN I LØNNSAVTALER - GDPR

Arbeidsgiver ser deg:

Oppbevaringsregler i ny personopplysningslov (GDPR)

Prosedyre for personvern

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Ny personvernlov. Hilde Lange, personvernombud Troms fylkeskommune

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter

VEILEDER GDPR PERSONVERN DEL 1 ANSATTE OG TILLITSVALGTE

Personvern i EPD-Norge

GDPR General Data Protection Regulativ

Arbeidsgivers styringsrett og ansattes personvern. Partnerforum 16. september 2008 Aslaug Bendiksen

Personvern i Amento AS

Personvern - behandlingsgrunnlag etter personopplysningsloven

Arbeidsgivers personvernplikter

Databehandleravtalen skal sikre at personopplysninger om de Registrerte ikke brukes urettmessig eller kommer uberettigede i hende.

Personvern i skolen. Skolelederkonferansen 24. oktober Leder forretningsjuridisk/ advokat Hege Stensland Sveen

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger

Personvern overvåking og kontrolltiltak i arbeidslivet. Paratkonferansen, 16. november 2010 Bjørn Erik Thon

Personvernerklæring i NOAH AS

Rusmiddeltesting i arbeidslivet

NINAs personverndokument

Personvern i Otrera AS

PERSONVERNSERKLÆRING AVANTI RYFYLKE.

Personvernperspektivet og oppbevaring av intervjumateriale

Personverndokument NLT

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Personopplysningsvern med ProFundo som databehandler

GDPR HVA ER VIKTIG FOR HR- DATA

Unødvendig, overdreven bruk av identifisering og biometri vil kunne skade vår sikkerhet og personvernet.

Kontrolltiltak og e-postinnsyn overfor ansatte. Advokat Georg A. Engebretsen og advokat Julie Sagmo

GDPR - Personvern

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Ny personvernlovgivning

Lønns- og arbeidsvilkår

Personvern i Konstali Helsenor AS

Personvern i Skjervøy Arbeidssamvirke AS

Kunden er behandlingsansvarlig Unifaun er databehandler

Personopplysningsloven

Retningslinjer for bruk av informasjonssystemer i Oppland fylkeskommune

OM PERSONVERN TRONDHEIM. Mai 2018

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

Informasjon om behandling av personopplysninger om frivillige i Kirkens Bymisjon

Nyheter fra arbeidsretten. NBBL Autorisasjonskurs, Cambridge 31. august 2017, Astrid Flesland, SAMFO

Hva betyr det for din virksomhet?

Databehandleravtale for NLF-medlemmer

Personverndokument. For Tana Arbeidsservice AS 6.6 KONTAKTPERSONER HOS OPPDRAGSGIVER, SAMARBEIDSPARTNERE OG LEVERANDØRER

Juridiske betraktninger. knyttet til den nye. personvernforordningen. Advokat/partner Gerd Aaland Fagerli

Databehandleravtalen skal sikre at personopplysninger om de Registrerte ikke brukes urettmessig eller kommer uberettigede i hende.

Innholdsoversikt. Forord Sammendrag av bokens kapitler Personvernbegrepet Personopplysningsloven og -forskriften...

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

FORSLAG TIL INNHOLD I INTERNKONTROLLSYSTEMET

Lov om arbeidsmiljø,, arbeidstid og stillingsvern mv. (Arbeidsmiljøloven)

Personvernombudsordningen etter GDPR

Særavtale om lønns- og personalregistre

Utarbeidet dato: Utarbeidet av : Mari Johnsen Revisjonsnr. : 1 Revidert dato : Personvern i BME Johnsen AS

Personvernerklæring for Webstep AS

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET JUDICIA DA

Ny personopplysningslov fokus på personalmappen

Personvern i arbeidsforhold

GPS-overvåkning og personvern hvordan skal arbeidsgiver forholde seg?

GDPR for HR. En praktisk tilnærming til hva Sopra Steria har gjort for å møte de nye kravene

Personvernerklæring Stendi

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Veileder for behandling av personopplysninger og informasjonssikkerhet i idretten

Er din bedrift klar for ny personopplysningslov?

Policy for oppbevaring av ansattes personopplysninger

Personvern-rett H2016

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Personvernerklæring for jobbsøkere til Gunnar Holth Grusforretning AS

Nye regler om personvern. Halvor E. Sigurdsen, NHO

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Arbeidsreglement for Viken fylkeskommune Drøftet og forhandlet , endelig forhandlet

INTEGRITETSPOLICY REKRUTTERING

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

INFORMASJON OM GDPR TIL DE SOM GIR PERSONOPPLYSNINGER TIL DET NORSKE MASKINISTFORBUND (Dnmf)

Personvernerklæring JOIN good forces

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Merknader til personopplysningsforskriften kapittel 9:

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

GDPR Prosjektgjennomføring Sjekkliste

REKRUTTERING OG GDPR

Personvernerklæring for Clockwork i henhold til EU s General Data Protection Regulation (GDPR)

Nye personvernregler

Personvernombudsordningen etter GDPR

Revisjonsnummer 2 Sist revidert av Thorsrud Richard Skaar

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Ansattes Personvernpolicy og Policy for varsling av databrudd

Seminar for Norids forhandlere

Det er inngått "Oppdragsavtale for Regnskapsoppdrag" ("Avtalen") mellom Regnskapsforetaket og Kunden (hver en "Part", i fellesskap "Partene").

Forte Fondsforvaltning AS personvernerklæring

Arbeidsgivers styringsrett - arbeidstakers personvern Viktige avgjørelser, funn og trender

PERSONVERN I C-ITS

En analyse av forordningen og annen tilknyttet lovgivning Advokat Line Coll, Wikborg Rein

Arbeidsmiljøkongressen Endringer i arbeidsmiljølovgivningen Ny personvernlovgivning. Advokat Runar Homble

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Transkript:

Behandling av personopplysninger ved personaladministrasjon Presentasjon i Forum Rettsinformatikk 29. august 2018 Karina Karterud, Senior Legal Adviser i Telenor

2

1855 1995 2018 3

Personvern i Telenor Historikk Fra Telegrafverket anno 1855 til Telenor anno 2018 Regulert sektor- Taushetsplikt, f.eks. i lov om elektronisk kommunikasjon, krav i sikkerhetsloven mv. Personvernombud siden 2006- Har i dag to ombud, Nicolai Pfeiffer og Kjetil Rognsvåg I 2010 ble det opprettet et eget Group Privacy-team (dvs. på konsernnivå) med lokale privacy officers i de Telenor-eide selskapene- I dag Global Privacy med 11 ansatte, i tillegg til DPO er i de ulike BU ene. 2016: Beslutning om å opprette GDPR-prosjekt på konsernnivå 2017: GDPR-prosjekter i de ulike Telenor-selskapene Stort fokus på kunders personvern i mange år- Eget personvernsenter i Skien Ansattes personvern også i fokus, og økt bevisst etter GDPR-prosjekt 4

Behandling av personopplysninger ved personaladministrasjon En arbeidsgiver har behov for å behandle personopplysninger om ansatte både i en rekrutteringsprosess, under en ansettelse og etter avslutning av arbeidsforholdet. Formålet med behandlingen er som regel personaladministrasjon. Behandlingsgrunnlag: GDPR art. 6 1 a) Samtykke- Lite egnet som behandlingsgrunnlag i arbeidsforhold, særlig pga. kravet om frivillighet GDPR art. 6 1 b): Oppfyllelse av kontrakt- Arbeidskontrakten GDPR art. 6 1 c): Som følge av lovpålagte plikter eller GDPR art. 6 1 f): Berettiget interesse som går foran hensynet til den ansattes rett til vern av personopplysninger. 5

I en rekrutteringsprosess 6 Navn, adresse, sivilstatus, opplysninger om kompetanse, erfaring, navn på referansepersoner. Typiske personopplysninger: Navn, adresse, sivilstatus, opplysninger om kompetanse, erfaring, navn på referansepersoner Typiske dokumenter: Søknad, CV, vitnemål, attester, referansesjekk, bakgrunnsjekk, kredittsjekk, psykotmetriske tester, arbeidstillatelse, habilitetsvurderinger, interne vurderinger/rangeringer/utvelgelse mv. Behandlingsgrunnlag ved start av rekrutteringprosess: GDPR art. 6 1 a) Samtykke eller GDPR art. 6 1 b) behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse? Formålet med behandlingen: Personaladministrasjon- Å velge rett person til rett stilling Behandlingsgrunnlag ved endt rekrutteringsprosess: GDPR art. 6 1 f): For å kunne dokumentere at prosess ikke har vært i strid med diskrimineringsregelverket- Arbeidsgiver har bevisbyrden. Avgjørelse i Likestillings- og diskrimineringsnemnda, LDN 2015-68

Under ansettelse Typiske personopplysninger: Navn, adresse, fødselsnummer, ansattnummer, stilling og plassering i organisasjon, nasjonalitet, kjønn, sivilstand, kontonummer, trekk- og skatteopplysninger, nærmeste pårørende, fotografi til adgangskort, e-postadresse, vurderinger av prestasjoner og kompetanse, telefonnummer, opplysninger om kompensasjon og goder mv. Typiske dokumenter: Arbeidskontrakt, tilbudsbrev, cv, taushets- og lojalitetserklæringer, arbeidstillatelse, dokumentasjon knyttet til sikkerhetsklarering/autorisasjon, dokumentasjon knyttet til permisjoner, lønnsbetingelser, avtaler om goder, utleggsdokumentasjon, advarsler, HMS-dokumentasjon (f.eks. tilknyttet til innrapportering om ulykker og nesten-ulykker), sykefraværsoppfølging, referat fra medarbeidersamtaler og medarbeideroppfølging 7

Forts. Under ansettelse Formål: Personaladministrasjon Behandlingsgrunnlag: GDPR art 6 1 b) Oppfylle arbeidskontrakt-ytelse mot ytelse- Lønn og andre goder mot arbeidsytelse GDPR art 6 1 c) Lovpålagte plikter, f.eks. Arbeidsmiljøloven (f.eks. krav om registrering av personskader og sykdommer forårsaket av arbeidet, krav om tilrettelegging/oppfølging/veiledning) Bokføringsloven: Regnskapspliktig materiell skal oppbevares i 3,5 år eller 5 år Likestillings- og diskrimineringsloven GDPR art. 6 1 f) Berettiget interesse, f.eks. Når arbeidsgiver ønsker å ta i bruk ulike systemer for kommunikasjon og samhandling (f.eks. Workplace (Facebook@work), Outlook, Lync.,intranett mv.) GDPR art. 6 1 a) Samtykke - Bruk av bilder på intranett og applikasjoner 8

Forts. Under ansettelse Særskilte kategorier av personopplysninger: Helse og fagforeningstilknytning (GDPR art. 9), samt opplysninger om straffbare forhold (GDPR art. 10) Behandlingsgrunnlag: GDPR art. 9 2 a) Samtykke, men samme utfordring ifht. frivillighet GDPR art. 9 2 b) nødvendig for at den behandlingsansvarlige eller den registrerte skal kunne oppfylle sine forpliktelser og utøve sine særlige rettigheter på området arbeidsrett i den grad dette er tillatt i henhold til medlemsstatenes nasjonale rett, eller en tariffavtale i henhold til medlemsstatenes nasjonale rett som gir nødvendige garantier for den registrertes grunnleggende rettigheter og interesser. 9

Forts. Under ansettelse Særskilte kategorier av personopplysninger (sensitive) contra konfidensielle personopplysninger Særskilte kategorier av personopplysninger: (Uttømmende regulert i GDPR art. 9) (og 10) : Personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Ansattes fødselsnummer er mao. Ikke en særskilt kategori personopplysninger, men Krav om konfidensiell behandling likevel: Personopplysninger om ansatte skal behandles konfidensielt - Dvs. at ingen uautoriserte skal få tilgang til opplysningene, kun personer med tjenstlig behov skal ha tilgang. - Dette innebærer at konfidensielle personopplysninger informasjon ikke er det samme som særskilt kategori av personopplysninger, men slik informasjon kan likevel også omfatte særskilte kategorier av personopplysninger, f.eks. helseopplysninger om ansatte. 10

11 Kontrolltiltak i arbeidslivet

12 Kontrolltiltak i arbeidslivet Eksempler: Adgangskontrollsystem, GPS-sporing, kameraovervåkning på arbeidsplassen, rusmiddeltesting, produksjonskontroll, kontroll av e-post, kontroll av telefonbruk, systemovervåkning mv. Motstridende interesser: Arbeidsgivers behov for slik kontroll opp mot de ansattes arbeidsmiljø og krav på personvern Arbeidsmiljølovens særskilte krav, i parallell med (men ikke helt like krav som i) personopplysningsloven: 9-1 1) Arbeidsgiver kan bare iverksette kontrolltiltak overfor arbeidstaker når tiltaket har saklig grunn i virksomhetens forhold og det ikke innebærer en uforholdsmessig belastning for arbeidstakeren 2) Personopplysningsloven gjelder for arbeidsgivers behandling av opplysninger om arbeidstakere i forbindelse med kontrolltiltak med mindre annet er fastsatt i denne eller annen lov 9-2 1) Arbeidsgiver plikter så tidlig som mulig å drøfte behov, utforming, gjennomføring og vesentlig endring av kontrolltiltak i virksomheten med arbeidstakernes tillitsvalgte 2) Før tiltaket iverksettes, skal arbeidsgiver gi de berørte arbeidstakerne informasjon om a)formålet med kontrolltiltaket, b) praktiske konsekvenser av kontrolltiltaket, herunder hvordan kontrolltiltaket vil bli gjennomført, c) kontrolltiltakets antatte varighet Egen veileder om kontrolltiltak: https://www.arbeidstilsynet.no/contentassets/04ec2eb566d44942bd6693e9e3a0c99e/veiled er_om_kontroll_og_overvaking_i_arbeidslivet.pdf

Særskilte regler om innsyn i e-post mv. Egen forskrift om innsyn i e-post og annet elektronisk lagret materiale, jf. arbeidsmiljølovens 9-5 Vilkår for innsyn: 2: a) Når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten, eller b) Ved begrunnet mistanke om at arbeidstakers bruk av e-postkasse eller annet elektronisk utstyr medfører grovt brudd på de plikter som følger av arbeidsforholdet eller kan gi grunnlag for oppsigelse eller avskjed Arbeidsgiver kan ikke overvåke arbeidstakers bruk av elektronisk utstyr, herunder bruk av internett, med mindre formålet er a) å administrere virksomhetens datanettverk eller b) å avdekke eller oppklare sikkerhetsbrudd i nettverket Forskriftens 3: Egne prosedyrer ved innsyn: Varsling- Uttalelse- Skriftlig underretning mv. Forskriftens 4: Slettekrav ved opphør av arbeidsforhold: E-postkasse skal avsluttes ved arbeidsforholdets opphør, med mindre det foreligger særskilt behov for å holde e-postkontoen åpen i en kort periode etter opphøret og opplysninger som ikke er nødvendig for den daglige driften av virksomheten, skal slettes innen rimelig tid. 13

Særskilte regler om kameraovervåkning Egen forskrift om kameraovervåkning i virksomhet, jf. arbeidsmiljølovens 9-6 Virkeområde, 1: Kameraovervåkning omfatter både overvåkningskamera (fjernstyrt eller automatisk) eller annet lignende utstyr som er fastmontert. Både med og uten mulighet for opptak av lyd- og bildeområde. Uekte kameraovervåkning omfattes også, eller skilting, oppslag eller lignende som gir inntrykk av kameraovervåkning, jf. pol. 31 Vilkår, 2: Arbeidsmiljølovens kap. 9 og personopplysningsloven Tilleggsvilkår, 3: Kameraovervåkning av område i virksomheten hvor en begrenset krets av personer ferdes jevnlig, er bare tillatt dersom det ut fra virksomheten er behov for å forebygge at farlige situasjoner oppstår og ivareta hensynet til ansattes eller andres sikkerhet eller det for øvrig er et særskilt behov for overvåkingen. Varsling, 4: Ved skilting eller annen tydelig måte 14

Avslutning av arbeidsforholdet Formål: Personaladministrasjon: Anses som regel oppfylt ved avslutning. Kravet om ikke å lagre lenger enn nødvendig, samt kravet til dataminimering,krever sletting av mange opplysninger om den ansatte ved avslutning av arbeidsforholdet. Personaladministrasjon kan likevel også kunne fortsette etter avslutning av arbeidsforhold- Jf. bl.a. avgjørelse i Personvernnemnda fra 2014 (PVN-2014-18) Behandlingsgrunnlag etter avslutning av arbeidsforhold Kan fortsatt være GDPR art. 6 1 b ) kontrakt), f.eks. økonomiske forpliktelser som løper etter avslutning, men også c) lovpålagte plikter, f.eks. i tilknytning til fremtidige pensjonsutbetalinger, HMS (yrkesskader eller yrkessykdom), krav etter bokføringslov mv. GDPR art. 6 1 f) Berettiget interesse- F.eks.i arbeidsgivers interesse å i å beholde en del opplysninger nærmest «for alltid»: Navn, stilling, tjenestested, tiltredelsesdato, stillingsprosent, arbeidskontrakt, taushets- og lojalitetserklæringer mv. Begrunnelse: For å kunne dokumentere bedriftens avtaleforpliktelser gjennom tidene, begrunnet i historiske årsaker (en sentral del av en virksomhets historikk) 15

Spørsmål?

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding