GDPR for HR En praktisk tilnærming til hva Sopra Steria har gjort for å møte de nye kravene 1 Beathe Lassen Director HR Operations Beathe.Lassen@soprasteria.com
Arbeidsmøte 1 Om Sopra Steria 2
Hvordan angriper vi dette? Hvem skal eie dette? På hvilken måte kan vi sikre at vi imøtekommer krav til GDPR i våre HR Prosesser? Hvor ligger «vår» data? Hvem har tilgang til denne dataen? Hvordan informere våre medarbeidere om dette arbeidet? 3
VIRKSOMHETSSTYRING OG INTERNKONTORLL I Sopra Steria har vi et internkontrollsystem for virksomhetsstyring og informasjonssikkerhet Systemet for virksomhetsstyring er forankret i ledergruppen For behandling personopplysninger besluttet vi at dette ble en del av vårt internkontrollsystem 4
PERSONVERNOMBUD Har som oppgave å styrke virksomhetens kompetanse om personvern Ombudet skal ha oversikt over alle behandlinger av PO i Sopra Steria, og passe på at dette blir innordnet i vårt system for internkontroll og påpeke brudd på lovgivningen til ledelsen Dersom det skal utføres en ny behandling av PO i Sopra Steria skal personvernombudet konsulteres først 5
HVA TRENGER VI For behandling av PO ble det utarbeidet følgende dokumenter: Personvernpolicy Oversikt over behandlinger av personopplysninger i Sopra Steria Særlige prosedyrer og regler for enkelte behandlinger innen HR 6
Arbeidsmøte 1 Hva er en personopplysning? 7
PERSONOPPLYSNINGER Sopra Steria (AS, A/S og AB) behandler en rekke personopplysninger Opplysningene tilhører: Ansatte Kunder Kandidater som er aktuelle for rekruttering Andre som har kontakt med Sopra Steria Personopplysninger er opplysninger som på en direkte eller indirekte måte identifiserer enkeltpersoner: Navn Adresse Personnummer E-postadresse IP-Adresse Personlighetstester Evaluering fra ledere og eller kunder Bilde Fingeravtrykk 8
SENSITIVE PO Fagforeningsmedlemskap Helseforhold Seksuell legning Rasetilhørighet eller etninsk bakgrunn Politisk, religiøs eller filosofisk overbevisning 9
Behandling av personopplysninger - hva er det? Behandling er definert som «alle operasjoner som utføres på personopplysninger, med eller uten automatiske hjelpemidler» Det vil si at behandling omfatter: innsamling og registrering organisering, strukturering og lagring tilpassing og endring gjenopphenting og oppslag bruk og deling sammenstilling og kombinering begrensning, sletting og destruering Kort oppsummert er behandling mer eller mindre alt vi gjør med dataene 10
Ulike behandlinger skjer i ulike systemer 11 Rekruttering/testing/ CV Database Søknad/CV/karakterer/vi tnemål Personlighet og ferdighetstester Referansedokumenter CV database kompetanse/erfaring HR System/HR Arkiv Ansatte informasjon Navn/ansattenr/lønn/ bankkontonr/adresse/ pårørendeinfo Ansettelseskontrakt Bekreftelser/endringer Tilgangsstyrt Intranett Ressursliste Reviews Lønnsoppgjør Feedback fra kunde Tilgangsstyrt
12 BEHANDLINGER en oversikt
Samtykke For enkelte behandlinger må Sopra Steria innhente samtykke til behandlingen For eksempel må Sopra Steria innhente samtykke for å lagre CV til kandidater i vårt rekrutteringssystem For at et samtykke skal være gyldig krever lovgivningen at det må det være: Frivillig - Det må kunne trekkes tilbake eller nektes gitt uten negative konsekvenser Uttrykkelig - Det må være gitt ved en aktiv handling, ved et kryss, svarspill, tastevalg, osv. Informert - den som samtykker må få informasjon om hva hun/han samtykker til og konsekvensene av å avgi samtykke. 13
Databehandler Sopra Steria er databehandler når vi behandler PO på vegne av behandlingsansvarlige Dette kan for eksempel være når Sopra Steria drifter kunders infrastruktur og applikasjoner eller når vi leverer en SaaS-løsning ved hjelp av tredjepartsprogramvare Sopra Steria setter også ut sitt behandlingsansvar til databehandlere For eksempel er leverandør av rekrutteringssystemet til Sopra Steria databehandler for PO om kandidater som lagres i denne database 14
Våre mål Når Datatilsynet banker på, må vi være i stand til å svare på det de spør om Med god dokumentasjon kan vi spore hvem som har gjort hva og når gjennom dataenes levetid Alle virksomheter som behandler personopplysninger, er lovpålagt å ha en fullstendig og nøyaktig oversikt over hvilke personopplysninger vi behandler hvor vi oppbevarer dem hvor de kommer fra det rettslige grunnlaget for behandling I den nye lovgivningen er det også krav til at alle ansatte får opplæring i personvern 15
16 Informasjon til ansatte
Takk for oppmerksomheten 17 Delivering Transformation. Together.