Arbeidsgiverens behandling av personopplysninger om sine ansatte Personvernforordningen i det daglige Dana Jaedicke juridisk seniorrådgiver
Et nytt personvernregelverk er født! (EU 2016/679) PUBLISERT i EUs offentlige journal o Trer i kraft 27.05.2018 FORORDNING: o Erstatter nasjonal lovgivning o Gjelder i utgangspunktet både private og det offentlige o Direkte gjeldende i EU o Begrenset spillerom for nasjonale tilpasninger
Hvorfor angår dette meg? o Mine ansatte behandler personopplysninger om mine kunder o Mine ansatte behandler personopplysninger på vegne av mine kunder o Jeg ønsker å ta i bruk de mest effektive virkemidler for å drifte min virksomhet o Tilgangskontroll o Produksjonskontroll og styringssystemer o Sporingsteknologi i virksomhetens kjøretøy og flåtestyring o Jeg vil forsikre meg at mine ansatte jobber effektivt
Personopplysninger hva er det? Peder Aas 2020 Lillevik F.nr 180262 34997 4
Personopplysninger er også Fødselsnummer: 13087846271 Telefonnummer: 22396900 IP-adresse: 195.159.103.82 Bilnummer: BL 23456 Bluetooth MAC: 17:35:52:78:4B:CA Wi-Fi-adresse MAC: 12:44:32:45:7B:C9 Autpass-brikke-ID: 7483920983278394 UDID: f7426bd759856431d9ae2c99175407a0d cd67ab5 5
Bakgrunn EUs arbeid med nytt regelverk Felles regelverk for personvern i Europa Styrke den europeiske borgers rettigheter Gjøre det lettere å utveksle personopplysninger over landegrenser Styrke tilliten til digitale tjenester Sikre samarbeid mellom personvernmyndigheter
Er det lov å kreve at mine ansatte gjennomgår helseundersøkelser? overvåke mine ansattes telefonbruk (tjenestetelefon)? kameraovervåke arbeidslokalene? innføre tilgangskontroll? etablere varslingstjenester? bruke informasjon fra produksjonskontroll og styringssystemer? sjekke arbeidssøkernes Facebook før ansettelse? kontrollere ansattes e-post og besøk på internettsider?..osv
«Det kommer an på» Svaret kan dessverre ikke leses direkte av forordningen Kamerabestemmelsene (personopplysningsforskriften kap 8) blir muligens videreført Innsyn i e-post bestemmelsene (personopplysningsforskriften kap 9) vurderes videreført Forordningen stiller tydeligere krav til fremgangsmåte i behandling av personopplysninger Risikobasert tilnærming Informasjon Åpenhet og etterprøvbarhet Forordningens generelle rammer kan og bør suppleres gjennom nasjonal lovgivning (artikkel 88)
Arbeidsgiver som behandlingsansvarlig 1. Tillatelser og formalia 2. Samtykke, legitime interesser og gjenbruk av personopplysningene 3. Plikter ovenfor de registrerte (de ansatte) 4. Internkontroll og etterlevelse Herunder innebygd personvern og personvern som standardinnstilling Avvikshåndtering
Tillatelser og formalia
Dagens regelverk Personalregistre som bare inneholder ikke-sensitive opplysninger, er unntatt fra meldeplikt (poppf 7-16) Behandling av sensitive personopplysninger som knytter seg til arbeidsforholdet er unntatt konsesjonsplikt når det finnes hjemmel i lov eller samtykke fra den ansatte. Hvis behandlingen skyldes IKKE personaladministrasjon, foreligger konsesjonsplikt Under forutsetning av at det foreligger lovhjemmel eller samtykke kan følgende sensitive personopplysninger behandles uten både konsesjon og melding: o o o Opplysninger om medlemskap i fagforening Nødvendige fraværsopplysninger og opplysninger som skal registreres med hjemmel i arbeidsmiljølovens 5-1 Opplysninger som er nødvendige for å tilrettelegge arbeidssituasjonen på grunn av helseforhold
Etter forordningen Melde- og konsesjonsplikt bortfaller Forhåndskontroll blir erstattet av frihet under ansvar for den behandlingsansvarlige (risikovurderinger og DPIA)
Vurdering av personvernkonsekvenser (PIA/DPIA) DPIA er en prosess for å bygge og demonstrere etterlevelse etter regelverket. Hva? Et prosjekt, initiativ, foreslått system eller prosess Av hvem? Behandlingsansvarlig. o PVO skal rådføres Når? Før en behandling starter eller før utviklingsstart. Når skal den oppdateres? Ved endring av risiko eller kontekst.
DPIA (dybdeanalyse) «Høy risiko» (art 35 (3)) o Automatiske avgjørelser basert på profiler o Behandling av sensitive personopplysninger eller opplysninger om straffbare forhold o Systematisk overvåking av et offentlig tilgjengelig område Datatilsynet kan utarbeide (ja/ nei) lister o EDPB har mulighet til å overprøve vurderingen (jf. art 64) I tilfelle man er i tvil anbefaler vi å utføre en DPIA.
Minst to av følgende ti kriterier 1. Evaluering eller poengvurdering (scoring) 2. Automatiserte avgjørelser 3. Systematisk overvåkning (monitoring) 4. Sensitive personopplysninger 5. Behandling av personopplysninger i stor skala 6. To eller flere datasett som sammenstilles 7. Personopplysninger om registrerte med særskilt beskyttelsesbehov 8. Ny teknologi eller bruk av eksisterende teknologi til nye formål 9. Overføring til utlandet 10. Konteksten begrenser muligheten for de registrerte til å utøve rettigheter
Eksempler på spørsmål ved kartlegging Hvilke personopplysninger skal applikasjonen få tilgang til, samle inn eller overføre? Hvordan kan dette berøre brukerne? Dokumenter at innsamlingen har et legitimt formål, og i hvilken grad du er berettiget til å samle inn slike data. Hvilke følger kan det få for en bruker av applikasjonen dersom data skulle bli misbrukt? Hvor presist og hvor enkelt kan en spesifikk person eller enhet identifiseres basert på disse opplysningene? Hvor lenge skal personopplysningene lagres? Er applikasjonen rettet mot barn? Hvor lett er det for brukeren å slette personopplysningene eller brukerkonti?
Alle skal bygge personvern inn i nye løsninger Innebygd personvern (Privacy by design): Å ta hensyn til personvernet i alle utviklingsfasene av et system Utviklet av IPC i Ontario Vedtatt på internasjonal personvernkonferanse Oversatt til norsk Og nå blir det en plikt å gjøre det
Innebygd personvern 7 steg 1. Vær i forkant, forebygg fremfor å reparere 2. Gjør personvern til standardinnstilling 3. Bygg personvern inn i designet 4. Skap full funksjonalitet: Både-og, ikke enten-eller 5. Ivareta informasjonssikkerhet fra start til slutt 6. Vis åpenhet 7. Respekter brukerens personvern
Innebygd personvern i nytt regelverk Art. 25 Tekniske og organisatoriske tiltak pseudonymisering Utformet for å ivareta personvernprinsipper minimalisering Det minst personverninngripende alternativet som standard: mengde omfang lagringstid tilgjengelighet
Samtykke, legitime interesser og gjenbruk av opplysningene
Artikkel 6 om lovlig behandling Bestemmelsen oppstiller seks rettslige grunnlag for lovlig behandling av personopplysninger o Samtykke o Kontrakt o Rettslig forpliktelse o Vitale interesser o Oppgave i samfunnets interesser o Legitime interesser Etter ordlyden er rettsgrunnlagene i stor grad en videreføring av gjeldende rett
Samtykke Frivillig, spesifikk, informert og utvetydig erklæring eller klar bekreftelse at den registrerte er enig i at personopplysninger behandles (art. 4(11)) o frivillighetskravet ikke oppfylt (fortale 43): o hvis der er en klar skjevhet mellom den registrerte og den behandlingsansvarlige, særlig hvis den BA er en offentlig myndighet; o evt. også i arbeidsforhold (fortale 155). o hvis det ikke er mulig å gi særskilt samtykke til forskjellige behandlingsaktiviteter, selv om det er hensiktsmessig i det enkelte tilfelle. o "utvetydig"? o Det må ikke være tvil om at den registrerte uttrykker sin vilje til å samtykke i behandlingen: -Hva samtykke gjelder (behandlingen), hvem den behandlingsansvarlige er og formål med behandlingen, jf. fortalen nr. 42 o Den registrertes inaktivitet/passivitet kan aldri kunne anses som et lovlig samtykke, jf. fortalen nr. 32: - Taushet, forhåndsavkrysset felter eller inaktivitet bør derfor ikke utgjøre samtykke
Samtykke FORM o Samtykke = handling o Anmodninger som fremlegges elektronisk må også være klare, konsise og ikke unødvendig forstyrrende for bruken av tjenesten o Tekst for innhenting av samtykke skal være klart adskilt fra f.eks. de øvrige delen av avtalen o Å trekke tilbake samtykket skal være like enkelt som det har vært å avgi det, jf art. 7(3)
Art 88 Behandling i forbindelse med ansettelsesforhold Nevnte regler skal omfatte egnede og særlige tiltak for å verne den registrertes menneskeverd, berettigede interesser og grunnleggende rettigheter, særlig med hensyn til behandlingens gjennomsiktighet, overføring av personopplysninger internt i et konsern eller en gruppe av foretak som utøver en felles økonomisk virksomhet, og overvåkingssystemer på arbeidsplassen nokså overordnede og skjønnsmessige rammer som oppstilles for det nasjonale handlingsrommet o o Presiseringer, ikke avvik fra forordningens øvrige rammer Kan inntas i «nasjonal rett eller tariffavtaler, herunder «arbeidsavtaler», (fortale 155)
Arbeidsgiverens legitime interesser nødvendig for å ivareta berettigede interesser som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger (artikkel 6 (1) f). o fortale 69: en registrert har imidlertid rett til å protestere med utgangspunkt i hans særlige situasjon. Det bør være opp til behandlingsansvarlige å påvise at vedkommende tvingende berettigede interesse går foran den registrertes interesser eller grunnleggende rettigheter og friheter. o Arbeidstakeren kan motsette seg behandlingen (art 21)
Hva skal beskyttes? Konfidensialitet Åpenhet Transparency Integritet Den registrertes perspektiv Mulighet til å gripe inn Intervenability Kan ikke kobles Unlinkability Tilgjengelighet Oversatt fra en artikkel om DPIA-prosessen: http://friedewald.website/wp-content/uploads/2016/06/apf2016.pdf
Gjenbruk av opplysningene Hovedregelen art 6(4) er at gjenbruk av helseopplysningene krever (gyldig) samtykke eller hjemmel i lov o Foreligger ikke dette, kan opplysningene gjenbrukes kun til kompatible formål Forenlighetstest i art 6(4) Er formålet forenlig, kreves ikke ny behandlingsgrunnlag (fortale 50) o Informasjonsplikten består (art 14) o MEN: arkivformål i samfunnets interesse, vitenskapelige eller historiske forskningsformål eller statistiske formål er forhåndsdefinert som forenelige lovlige behandlingsaktiviteter (fortale 50) Husk også bestemmelsene om illojal databehandler!
Plikter ovenfor de registrerte (de ansatte)
Den behandlingsansvarliges plikter ovenfor de registrerte Plikt til å utforme samtykkeerklæring i trådd med art. 7, 8 Plikt til å utforme alle informasjonsskriv i trådd med art. 12 Plikter ved tvil om identiteten til den som fremmer en forespørsel etter art 15-22 Plikt til å gi informasjon om tiltak iverksatt etter anmodning fra de registrerte etter art. 15-20, jf art. 12 3 Plikt til å gi informasjon om behandlingen av personopplysninger, jf art. 13 og art. 14 Plikt til å gi innsyn (art 15) Plikt til å rette unøyaktige opplysninger, eller å supplere ufullstendige opplysninger etter art. 16 Plikt til å slette jf art. 17 og meldeplikt etter art 19 Plikt til å begrense behandlingen av personopplysninger jf art. 18 Plikt til å overføre opplysninger til den registrerte etter art. 20 (dataportabilitet), og hvis teknisk mulig, direkte til en evt ny behandlingsansvarlig jf art. 20 Plikt til å iverksette tiltak for å ivareta retten til å motsette seg behandling av personopplysninger etter art 6 (e) og (f), art 21 Forbud mot automatiserte avgjørelser basert på personprofiler (art 22) Plikt til å melde avvik til de registrerte etter art 34
Informasjonsplikt (1- HVA?) Den behandlingsansvarlige skal iverksette egnede tiltak for å ivareta personvernet: o informasjonsplikt når det samles inn opplysninger fra den registrerte (art. 13) o informasjonsplikt når det samles inn opplysninger fra andre enn den registrerte (art. 14) o opplyse om de registrertes rettigheter etter art. 15-22 o underretting om sikkerhetsbrudd til de berørte, jf. art. 34
Informasjonsplikt (2- HVORDAN?) konsis, gjennomsiktig, forståelig og lett tilgjengelig form, i et klart og enkelt språk uten vederlag o med mindre anmodningene fra de registrerte er åpenbart grunnløse eller overdrevne, spesielt hvis de gjentar seg over en viss periode, jf. 12(5) NÅR: uten ugrunnet opphold og ikke senest enn en måned etter anmodningen er mottatt o kan forlenges med 2 måneder dersom nødvendig Dersom anmodningen er avslått, skal det informeres uten ugrunnet opphold og innen en måned om dette, og om muligheten til å inngi en klage til DT og innbringe saken for en rettsinstans.
Retting (popplyl 27/ pvf art 16 + art 19) Opplysninger: Uriktige Ufullstendige, eller Ikke er adgang til å behandle Varsling av tredje part: om mulig, sørge for at feilen ikke får betydning for den registrerte, f.eks. ved å varsle Ved tungtveiende personvernhensyn kan Datatilsynet bestemme sletting eller sperring Når? Opplysninger: -Unøyaktige Varsling av tredje part: -Plikt dersom kravet er etterkommet -Umulig/uforholdsmessig vanskelig -Som en minimum, plikt til å oppgi identiteten til tredjepartsmottakere hvis den registrerte ber om det Når? uten ugrunnet opphold
Sletting etter anmodning (popplyl 28 / pvf art 17) Opplysninger: - Sterk belastende Dersom dette ikke: - strider mot annen lov, og - er forsvarlig ressurser gjennomføringen av kravet forutsetter Opplysninger: - Ikke nødvendige - Samtykket trekkes tilbake - Registrerte motsetter seg.. - Ulovlig behandling - Lovhjemmel Ingen direkte adgang til å ta kostnadene med i beregningen Ingen behov for intervensjon fra Datatilsynet
Avvikshåndtering (1) Varslingsplikt ved utilsiktet utlevering er lovfestet i forordningen. Melding til Datatilsynet: o uten unødig forsinkelse og senest etter72 timer o evt forsinkelse skal begrunnes Innholdskrav i art. 33(3) Unntak: det er usannsynlig, at hendelsen fører til en risiko for fysiske personers rettigheter Sikkerhetsbrudd: «brudd på sikkerheten som fører til utilsiktet eller ulovlig tilgjengeliggjørelse, tap, endring, uautorisert overføring av eller adgang til personoplysninger, som er videresendt, lagret eller på annen måte behandlet»
Avvikshåndtering (2) Underretting til de berørte: o uten unødig forsinkelse dersom bruddet sandsynligvis vil medføre en høy risiko for grunnleggende rettigheter (herunder personvern) o Innholdskrav i art. 34(2) Unntak: otekniske og organisatoriske tiltak som gjør data uforståelig for evt uautoriserte mottakere er tatt i bruk (kryptering) eller oetterfølgende tiltak som gjør det sannsynlig ar risikoen ikke vil inntreffe oindividuell informasjon vil innebære en uforholdsmessig innsats (forsikring vil heve terskelen for dette!) i så fall kan kollektiv informasjon være tilstrekkelig Den behandlingsansvarlige skal holde oversikt og dokumentere alle sikkerhetsbrudd. Sikkerhetsbrudd: «brudd på sikkerheten som fører til utilsiktet eller ulovlig tilgjengeliggjørelse, tap, endring, uautorisert overføring av eller adgang til personoplysninger, som er videresendt, lagret eller på annen måte behandlet»
Send oss spørsmål og innspill på: nyeregler@datatilsynet.no Følg oss: datatilsynet.no personvernbloggen.no Twitter.com/datatilsynet