VELKOMMEN TIL KURS I PERSONVERN Advokat Sunniva Berntsen Advokat Vibeke Lærum
Temaer for kurset Sentrale begreper og prinsipper Lovverket Endringer hovedtrekk i nytt regelverk Bedriftseksempel v/ Ingrid Bjørdal - Norsk Gjenvinning Kontrolltiltak bakgrunnssjekk, innsyn i epost, kameraovervåking mv. Veiledere hvordan lykkes med en helhetlig og langsiktig strategi for personvern? 22.11.2017 Personvern 2
Hva vet norske bedriftsledere om EUs nye personvernforordning GDPR? Våren 2017-611 bedriftsledere Kun 2 % sa de hadde god innsikt i personvernforordningen 60 % sa de ikke visste om de kunne dokumentere hvordan de håndterte personopplysninger Kun én av ti hadde startet arbeidet med å tilpasse seg den nye lovgivningen GDPR 33 % kjente ikke til forordningen 22.11.2017 Personvern 3
Snart er 25. mai 2018 her Så sett i gang! 22.11.2017 Personvern 4
Hva er personopplysninger? Peder Ås Lillevikveien 4 Lillevik Fødselsnummer 161079 34573 22.11.2017 Personvern 5
Hva er personopplysninger? Navn Adresse Metadata Fødselsnummer Genetiske og biometriske opplysninger Telefonnummer IP-adresse Bilnummer Bluetooth MAC Wi-Fi-adresse MAC Autopass-brikke-ID UDID 22.11.2017 Personvern 6
Sensitive personopplysninger Spesiell kategori kravet til behandlingsgrunnlag øker Genetiske og biometriske opplysninger Seksuell orientering Fagforeningstilknytning 22.11.2017 Personvern 7
Hvorfor personvern? Viktig i et demokratisk samfunn EMK artikkel 8 Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse. Grunnloven 102 Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller. Statens myndigheter skal sikre et vern om den personlige integritet. 22.11.2017 Personvern 8
Hva skal personvernet beskytte Retten til å ha kontroll over egne personopplysninger Stikkord - Selvbestemmelse - Informasjon 22.11.2017 Personvern 9
SENTRALE BEGREPER OG PRINSIPPER
Sentrale begreper Behandling av personopplysninger Personopplysning en opplysning som kan knyttes til en bestemt person Sensitiv personopplysning opplysninger om for eksempel genetiske og biometriske opplysninger, helse, seksuell legning, fagforeningstilknytning 22.11.2017 Personvern 11
Sentrale begreper Behandlingsansvarlig den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes (hovedansvarlig for at loven etterleves) Databehandler - den som behandler personopplysninger på vegne av en behandlingsansvarlig Databehandleravtale - En avtale mellom databehandler og behandlingsansvarlig om hvordan personopplysninger skal behandles. 22.11.2017 Personvern 12
Sentrale begreper Den registrerte - den fysiske person som en personopplysning kyttes til Personvernstrategi Beslutninger og tiltak for etterlevelse av personvernforordningen og ny personopplysningslov. Internkontroll rutiner og tiltak for å overholde personvernregelverket 22.11.2017 Personvern 13
Grunnleggende prinsipper Lovlighet: behandlingen av personopplysninger må ha et rettslig grunnlag (også kalt behandlingsgrunnlag) Rettferdighet: forholdsmessighet mellom inngrepet og formålet Gjennomsiktighet: informasjonsplikter og innsynsrettigheter 22.11.2017 Personvern 14
Grunnleggende prinsipper Formålsbegrensning: spesifikke, uttrykkelige og angitte og legitime formål Data minimering: Opplysningene skal være adekvate, relevante og nødvendige for formålet Riktighet: Opplysningene skal være korrekte og oppdaterte 22.11.2017 Personvern 15
Grunnleggende prinsipper Lagringsbegrensning: Opplysningene skal anonymiseres eller slettes når behandlingen ikke er nødvendig for å nå formålet Integritet og fortrolighet/informasjonssikkerhet: tilstrekkelig sikkerhet mot uautorisert eller ulovlig behandling og utilsiktet tap, ødeleggelse eller skade Ansvarlighet: den behandlingsansvarlige er ansvarlig for og skal kunne påvise at prinsippene overholdes 22.11.2017 Personvern 16
GJELDENDE OG NYTT LOVVERK Kort om hvorfor vi trenger nytt regelverk
Gjeldende lovverk Personopplysningsloven delvis basert på EUs personverndirektiv Personopplysningsforskriften Ordning med melde- og konsesjonsplikt 22.11.2017 Personvern 18
Personvernforordningen GDPR Regulation (EU) 2016/679 Bakgrunn Felles regelverk i Europa Styrke den europeiske borgers rettigheter Gjøre det lettere å utveksle personopplysninger over landegrenser Styrke tilliten til digitale tjenester Sikre samarbeid mellom personvernmyndigheter 22.11.2017 Personvern 19
Nye personvernregler fra 25.5.2018 EUs personvernforordning trer i kraft 25. mai 2018 Forslag om ny personopplysningslov - i kraft fra 25. mai 2018 som implementerer EUs personvernforordning i sin helhet 22.11.2017 Personvern 20
Norske særregler Kameraovervåking på arbeidsplass og bruk av uekte kameraovervåkingsutstyr Forslag om at personopplysningsforskriften kapittel 9 om arbeidsgivers innsyn i e-postkasse mv. bør videreføres i norsk rett, med visse justeringer 22.11.2017 Personvern 21
Mer innholdsmessige krav i regelverket Krav i forordningen Krav til strategier for etterlevelse av regelverket 22.11.2017 Personvern 22
Alle virksomheter får nye forpliktelser Alle må finne ut hva regelverket betyr Nye rutiner er et ledelsesansvar Alle ansatte skal følge nye rutiner 22.11.2017 Personvern 23
ENDRINGER Hovedtrekk i nytt regelverk
Hovedtrekk i nytt regelverk Fysiske personer i alle EU/EØS-land skal ha samme nivå av rettigheter Utvidet geografisk område «One stop shop» Virksomheter skal kunne forholde seg til en personvernmyndighet Men den registrerte skal kunne klage i eget land 22.11.2017 Personvern 25
Overføring utenfor EU/EØS Tredjeland som Kommisjonen har godkjent EU-US Privacy Shield Andre grunnlag for overføring til tredjeland: o o o o Bindende virksomhetsregler Standard personvernbestemmelser/-kontrakter Den behandlingsansvarlige eller databehandleren gir nødvendige garantier og de registrerte har håndhevbare rettigheter Unntaksvis - samtykke Personvern
Hovedtrekk i nytt regelverk Krav om klar og forståelig personvernerklæring Som skal være lett tilgjengelig Som skal ha et klart språk tilpasset leseren Opplysninger som skal framkomme 22.11.2017 Personvern 27
Nye rettigheter for den registrerte Rett til å flytte data mellom tilbydere, dataportabilitet Retten til å bli glemt (slettet) Automatiserte avgjørelser og rett til å nekte profilering Rett til å begrense en behandling Håndtere henvendelser fra borgere innen èn måned 22.11.2017 Personvern 28
Hovedtrekk i nytt regelverk Krav til innebygd personvern i IKT løsninger Tekniske og organisatoriske tiltak For å ivareta personvernprinsipper minimalisering Det minst personverninngripende alternativet som standard: En systematisk prosess 22.11.2017 Personvern 29
Hovedtrekk i nytt regelverk Databehandler direkte omfattet av regelverket Vær bevisst ved valg av databehandler Bruk databehandler som etterlever regelverket 22.11.2017 Personvern 30
Nye krav til innholdet i databehandleravtaler Skriftlighet Inneholde bestemmelser om: Hensikten med og varigheten av behandlingen, behandlingens formål og art, typen personopplysninger og kategorier av registrerte, samt den behandlingsansvarliges rettigheter og plikter. Spesifisere hvordan databehandler skal bistå den behandlingsansvarlige med å etterkomme krav fra enkeltpersoner, informasjonssikkerhet, avvikshåndtering og konsekvensanalyse. At databehandler kun skal behandle personopplysninger etter dokumenterte instruksjoner fra den behandlingsansvarlige. Kun overføre personopplysninger til et land utenfor EU-/EØS-området eller til internasjonale organisasjoner slik det er beskrevet i dokumenterte instruksjoner fra den behandlingsansvarlige. 22.11.2017 Personvern 31
Nye krav til innholdet i databehandleravtaler Databehahandler skal: Forplikte seg til å sørge for at de som har tilgang til personopplysningene som behandles, er underlagt taushetsplikt, og skal sørge for informasjonssikkerhet. Respektere reglene for underleverandører. Avhengig av hva den behandlingsansvarlige velger, slette eller tilbakeføre alle personopplysninger når databehandlingstjenestene opphører. Kopier skal også slettes. Dette gjelder med mindre en annen lov krever at de skal tas vare på. Tilgjengeliggjøre dokumentasjon for den behandlingsansvarlige som viser at bestemmelsene etterleves og også bidra til revisjoner. 22.11.2017 Personvern 32
Hovedtrekk i nytt regelverk Alle får krav til avvikshåndtering- og rapportering Avvik meldes til Datatilsynet uten ugrunnet opphold og senest innen 72 timer - Innhold i avviksmeldingen - Varsling av registrerte ved sikkerhetsbrudd Flere må ha personvernrådgiver 22.11.2017 Personvern 33
Nærmere om internkontroll Bedrifter vil få krav om å dokumentere virksomhetens internkontroll for hhv: Personopplysninger Datasikkerhet Må ha rutiner for å imøtekomme henvendelser om innsyn i personopplysninger Rutiner for sletting Rutiner for hva som skal gjøres dersom data kommer på avveie 22.11.2017 Personvern 34
Bransjenormer Sektorvis utforming av retningslinjer Sikrer at de viktigste rutinene er på plass Flere fordeler ved å følge disse Datatilsynet skal godkjenne bransjenormer 22.11.2017 Personvern 35
Slutt på melde- og konsesjonsplikt Dagens ordning med melde- og konsesjonsplikt bortfaller Men plikt til å gjøre en risikovurdering før man iverksetter nye tiltak Hvis tiltak utgjør et stort inngrep i personvernet skal personvernkonsekvenser vurderes Hvis konklusjon: Høy personvernrisiko, og bedriften ikke kan redusere tiltaket selv, da starte forhåndsdrøftinger med Datatilsynet som gir råd og veiledning 22.11.2017 Personvern 36
Sanksjoner ved overtredelse Store bøter ved overtredelse av bestemmelsene 10 mill euro / 2 prosent av global omsetning høyeste beløp av de to 20 mill euro / 4 prosent av global omsetning høyeste beløp av de to Avhengig av forsømmelsen 22.11.2017 Personvern 37
VEIEN TIL ETTERLEVELSE 22.11.2017 Personvern 38
Compliance er en kontinuerlig prosess Forankring Kartlegging Operasjonalisering Etterlevelse 22.11.2017 Personvern 39
Elementer som sikrer etterlevelse Ledelse Risiko Oversikt Opplæring Kommunikasjon Retningslinjer Involvering Respons 22.11.2017 Personvern 40
PERSONVERN I ARBEIDSLIVET
Arbeidsgivers styringsrett Avtaler: Hovedavtale Overenskomst Lokalavtaler Arbeidskontrakt Lover: Arbeidsmiljøloven Personopplysningsloven Diskrimineringslovene Regler om taushetsplikt i ulik lovgivning m.v. 22.11.2017 Personvern 42
Hjemmel for å behandle personopplysninger Husk Arbeidsgiver må alltid ha et behandlingsgrunnlag Samtykke fra arbeidstaker? Lovfestede plikter - for eksempel bestemmelser om sykefraværsoppfølging Lovhjemmel i personopplysningsloven 22.11.2017 Personvern 43
Samtykke fra arbeidstaker I utgangspunktet IKKE et gyldig behandlingsgrunnlag for personopplysninger. Begrunnelse underordningsforholdet arbeidstaker står i. Et samtykke må være informert, uttrykkelig og frivillig. Samtykke fra AT er heller ikke egnet som overføringsgrunnlag for ansatteopplysninger til land utenfor EØS-området uten tilstrekkelig vernenivå 22.11.2017 Personvern 44
Lovhjemmel for å behandle personopplysninger Personopplysningsloven 8 og 9 gir hjemmel 8 holder hvis det ikke er sensitive opplysninger - særlig praktisk er 8f) - husk interesseavveining 9 sensitive personopplysninger 22.11.2017 Personvern 45
Arbeidsgivers taushetsplikt Arbeidsgiver får i kraft av rollen kjennskap til mange personopplysninger om den enkelte ansatte. Eksempler - fagforeningstilhørighet, religion, seksuell orientering, helsemessige forhold. Aml kap 4 - Implisitt taushetsplikt - sørge for et fullt forsvarlig arbeidsmiljø. 22.11.2017 Personvern 46
Flyt av opplysninger i konserner Selskapet hvor den enkelte er ansatt = behandlingsansvarlig I konserner med flere datterselskaper = hvert selskap regnes som BA for sine respektive ansatte Utveksling av ansattopplysninger mellom selskaper må ha behandlingsgrunnlag i 8 evt 9 hvis sensitive personopplysninger Formålsbestemthetsprinsippet utveksling må ikke stride mot dette 22.11.2017 Personvern 47
Flyt av opplysninger i konserner Internasjonale konsernforhold - i dag må hvert datterselskap følge de lokale personvernreglene i landet der selskapet er etablert Endring etter GDPR-innføring fra mai 2018 Innenfor EU/EØS - One stop shop Utenfor EU/EØS - Land med godkjent vernenivå = ok - Land med oversikt over godkjente selskaper (USA) - Konsernregler som er GDPR-godkjent 22.11.2017 Personvern 48
22.11.2017 Personvern 49
BAKGRUNNSSJEKK VED REKRUTTERING Hva kan arbeidsgiver innhente av opplysninger?
Bakgrunnssjekk ved rekruttering Begrensninger opplysninger som innhentes må ha et saklig formål: Krever stillingen en viss fysisk form eller uavhengighet til politiske partier? Kontakt med referanser Kontakte læresteder/institusjoner Bakgrunnssjekk ved søk på internett Arbeidsgivers informasjonsplikt og hensynet til en transparent prosess Øvrige skranker for informasjonsinnhenting/testing 22.11.2017 Personvern 51
Bakgrunnssjekk ved rekruttering Personlighetstest, IQ-test mv Bruk av rekrutteringsselskaper: Databehandleravtale mellom bedrift og rekrutteringsbyrå Som BA er bedriften hovedansvarlig for at regelverket etterleves 22.11.2017 Personvern 52
De forbudte spørsmål Graviditet, adopsjon eller familieplanlegging Hvordan søker stiller seg til politiske spørsmål Medlemskap i arbeidstakerforening Religiøst eller kulturelt syn Unntak dersom stillingens karakter tilsier det Seksuell orientering 22.11.2017 Personvern 53
Innhenting av helseopplysninger ved ansettelse AML det kan kun innhentes helseopplysninger fra søkeren som er nødvendige for å utføre oppgaver knyttet til stillingen AML Arbeidsgiver kan kreve at medisinske undersøkelser skal foretas: Når det følger av lov/forskrift Ved stillinger som innebærer særlig risiko Når arbeidsgiver finner det nødvendig for å verne liv eller helse 22.11.2017 Personvern 54
KONTROLLTILTAK Hva er det og hva kreves for å innføre dette?
Kontrolltiltak Kontrolltiltak eksempler Tidsregistrering Tilgangskontroll Produksjonskontroll og styringssystemer Helseundersøkelser og innhenting av helseopplysninger Rustesting Ransaking eller kroppsvisitering Kameraovervåking av arbeidslokalene Logging/monitorering av kommunikasjon Sporingsteknologi i virksomhetens kjøretøy Kontroll av epost og besøk på internettsider AML oppstiller vilkår Må ha saklig grunn Må ikke innebære en uforholdsmessig belastning for arbeidstaker 22.11.2017 Personvern 56
Kontrolltiltak Stikkord: Drøfte, informere, evaluere Drøftingsplikt «så langt det er mulig» med tillitsvalgt og jevnlig evaluering husk protokoll Ta med verneombudet på råd og behandle planen om kontrolltiltak i AMU Før iverksettelse gi info til berørte arbeidstakere: Formålet med kontrolltiltaket Praktiske konsekvenser av tiltaket Tiltakets antatte varighet Brudd på reglene kan få store konsekvenser per i dag maks 10G Avskjæring som bevis 22.11.2017 Personvern 57
Kontrolltiltak Via kontrolltiltak samles det inn personopplysninger Da må virksomheten ha et behandlingsgrunnlag = hjemmel for å behandle personopplysningene Personopplysningsloven 8,9 og 11 For personopplysninger om de ansatte er det ofte 8 f) som gir hjemmel Husk formålsprinsippet 22.11.2017 Personvern 58
Arbeidstakers rett til info og innsyn Den ansatte skal informeres før kontrolltiltak iverksettes Når personopplysninger er samlet inn har den registrerte rett til innsyn i disse Unntak - dersom det er påkrevd å hemmeligholde opplysninger av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger 22.11.2017 Personvern 59
Internkontroll Virksomheter som benytter kontrolltiltak må ha internkontroll Internkontroll innebærer at virksomheten skal ha oversikt over hvilke personopplysninger som samles inn og hvordan de blir behandle Nye tiltak må føres inn i internkontrollsystemet Sørge for rutiner og intern opplæring slik at personopplysninger blir brukt i tråd med regelverket 22.11.2017 Personvern 60
1 Vurder behov og kartlegg risiko 4 Evaluer og Følg opp 2 Beslutt, planlegg og forbered 3 Gjennomfør 22.11.2017 Personvern 61
Sjekkliste for gjennomføring av kontrolltiltak Vurder nøye valg av kontrolltiltak vurder også om det finnes andre mindre inngripende virkemidler Gjennomfør kontrolltiltaket med mest mulig transparens og på minst mulig inngripende måte Vurder om vilkårene for å innføre kontrolltiltaket er oppfylt: Er tiltaket saklig og forholdsmessig? Foreligger behandlingsgrunnlag for personopplysningene? Vil bruken av personopplysninger være forenlig med det opprinnelige formålet? Følg prosedyrer for innføring av kontrolltiltaket: Drøft tiltaket med tillitsvalgte og gjør eventuelle tilpasninger før tiltaket iverksettes Etabler klare retningslinjer for akseptabel atferd og rutiner for gjennomføring av kontrolltiltak Gi ansatte informasjon og eventuell opplæring om tiltakene Håndhev interne retningslinjer viktig fordi manglende håndheving kan gjøre det vanskelig å sanksjonere de brudd som avdekkes av kontrolltiltakene 22.11.2017 Personvern 62
Sjekkliste for gjennomføring av kontrolltiltak Vurder nøye valg av kontrolltiltak vurder også om det finnes andre mindre inngripende virkemidler Evaluer kontrolltiltakene regelmessig, gjerne årlig: I større virksomheter kan det være hensiktsmessig med en samlet gjennomgang av relaterte tiltak med deltakelse fra blant annet HR, IT-sikkerhet og juridisk avdeling Gjennomgå rapporterte avvik/hendelser og eventuelle regelverksendringer merk endring av regelverk fra 28. mai 2018 Er der behov for å videreføre tiltakene eller innføre andre tiltak? Er retningslinjer, rutiner, opplæringstiltak og håndheving tilfredsstillende? Last ned sjekkliste på arbinn.nho.no 22.11.2017 Personvern 63
EKSEMPLER PÅ KONTROLLTILTAK
Kameraovervåking Kameraovervåking er et relativt vanlig kontrolltiltak, men kan oppleves belastende for de ansatte Vurder mindre inngripende midler Krav om forholdsmessighet Eventuelle opptak skal slettes innen syv dager 30 dager hvis det er sannsynlig at opptak vil bli utlevert til politiet Overvåking må varsles gjennom skilting Per jan 2017 ikke meldepliktig 22.11.2017 Personvern 65
Innsyn i e-post, filer og kommunikasjonsutstyr Utgangspunktet er at arbeidsgiver ikke kan kreve innsyn i de ansattes epost og private filer Det er noen få unntak, men strenge vilkår for innsyn Når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten Ved begrunnet mistanke om at arbeidstaker bruk av epostkassen medfører et grovt brudd på de plikter som følger av arbeidsforholdet eller kan gi grunnlag for oppsigelse eller avskjed 22.11.2017 Personvern 66
Innsyn i e-post, filer og kommunikasjonsutstyr Innsynsreglene gjelder: Epost av typen navn@virksomhet.no Arbeidstakers private filområde/hjemmeområde på virksomhetens datanettverk Elektroniske kommunikasjonsmedier eller IT-utstyr, for eksempel PC, smarttelefon eller nettbrett Alle eposter og filer, også slettet materiell og materiell tilgjengelig på sikkerhetskopier. Alle nåværende og tidligere ansatte og innleid personell 22.11.2017 Personvern 67
Innsyn i e-post, filer og kommunikasjonsutstyr Prosedyre for gjennomføring av innsyn må følges Arbeidsgiver må drøfte på systemnivå Arbeidstaker skal så langt det er mulig varsles og gis anledning til å uttale seg før innsyn Varslet skal opplyse hvorfor vilkårene for innsyn anses oppfylt Arbeidstakers rett til å uttale seg før innsynet Arbeidstakers rett til å være tilstede under innsynet og bli bistått av tillitsvalgt / annen representant 22.11.2017 Personvern 68
Innsyn i e-post, filer og kommunikasjonsutstyr Plikt til å varsle arbeidstaker før innsyn gjelder «så langt som mulig» Hvis innsyn må skjer umiddelbart kan det gjennomføres uten varsel Vurder eventuelt speilkopi Hvis innsyn har skjedd uten varsel - sørg for skriftlig underrettelse til den ansatte så snart innsynet er gjennomført Skrivet må inneholde følgende info: Hvorfor vilkårene for innsyn anses som oppfylt Hvilken metode som er benyttet ved Personvern innsynet 22.11.2017 69 Hvilke eposter eller andre dokumenter som ble
Sjekkliste for gjennomføring av innsyn Arbeidsgiver bør ha klare retningslinjer for bruk av bedriftens epost og IT-utstyr Vurder tiltak som kan redusere behovet for innsyn: Privat bruk av bedriftens utstyr bør bare tillates i begrenset grad Oppfordre ansatte til å benytte privat epost til privatbruk Ha klare retningslinjer for fortløpende arkivering av virksomhetsrelaterte dokumenter og dedikerte mapper for privat innhold Bruk fraværsassisten ved fravær Opprett egne epostkasser for tillitsvalgte som kan benyttes i deres verv Eksemplifiser i hvilke tilfeller arbeidsgiver vil ha rett til å gjennomføre innsyn Etabler rutine for gjennomføring av innsyn (hvem beslutter, fremgangsmåte, bruk av standard informasjonsskriv, beredskap mht speilkopiering, innkalling av ekstern bistand mv.) Etabler rutine for avvikling av epostkonto, sperring av tilganger til programmer og sletting og arkivering av innhold når ansatte slutter 22.11.2017 Personvern 70
Sjekkliste for gjennomføring av innsyn Sjekkliste ved gjennomføring av innsyn: Den ansatte skal så langt som mulig varsles, gis anledning til å uttale seg og gis anledning til å være til stede med bistand fra tillitsvalgt ved gjennomføringen Forsøk å bli enige om retningslinjene for den praktiske gjennomføringen i forkant for å sikre forutsigbarhet og dempe konfliktnivået Før innsyn - tenk igjennom søkeord og vurder hvordan søket kan gjøres mest mulig presist Ved innsyn skal arbeidsgiver ikke lese mer av dokumentet enn det som er nødvendig for å avgjøre om det er relevant Vurder behovet for ekstern bistand hvis det er særlig viktig å sikre notoritet 22.11.2017 Personvern 71
Adgangskontroll Elektronisk adgangskontroll er tekniske løsninger som sørger for at bare de som rettmessig har adgang til et bestemt område, kan passere Selv om hensikten med elektronisk adgangskontroll virker innlysende, skal det være et skriftlig nedfelt formål med tiltaket Fra jan 2017 er behandling av personopplysninger i aktivitetslogg i adgangskontrollanlegg unntatt fra meldeplikt Tidsregistrering og adgangskontroll skal ikke blandes 22.11.2017 Personvern 72
Tidsregistrering Arbeidsgiver kan kreve at de ansatte selv registrerer seg når de kommer på arbeid og når de forlater arbeidsplassen Enkelte yrker/stillinger har ikke fast arbeidssted Ved bruk av lokaliseringsdata til å registrere arbeidstid skal ikke kontrollen generere mer informasjon enn nødvendig Registrering må gjennomføres på minst mulig inngripende måte overfor den ansatte 22.11.2017 Personvern 73
Veskekontroll Veskekontroll kan være aktuelt dersom de ansatte har tilgang til verdifulle eller farlig produkter Arbeidsgiver styringsrett gir en ganske vid adgang til å benytte dette kontrolltiltaket Må være saklig begrunnet og ikke uforholdsmessig inngripende Kravene til saklighet, drøfting og informasjon gjelder 22.11.2017 Personvern 74
GPS-sporing av yrkesbiler Elektronisk sporing av kjøretøy gir også informasjon om hvor arbeidstaker befinner seg Krav til saklighet, forholdsmessighet og drøfting Arbeidsgiver må skrive ned formålet og beskrivelsen vil være styrende for hva slags personopplysninger som kan behandles, hvor lenge de kan lagres og hvem i virksomheten som skal ha tilgang til opplysningene 22.11.2017 Personvern 75
Medisinske undersøkelser og rustesting Helsekontroll = inngrep i den enkelte arbeidstakers personlige integritet Må ha rettslig grunnlag. Samtykke fra arbeidstaker er ikke et gyldig grunnlag AML kan tillates når det følger av lov/forskrift, ved stillinger som innebærer en særlig risiko og når arbeidsgiver finner det nødvendig for å verne liv og helse Selv om vilkårene er oppfylt kan undersøkelsen ikke gjennomføres ved tvang 22.11.2017 Personvern 76
BRUK AV SOSIALE MEDIER Hvordan begrense eller styre dette?
Overvåking av ansattes bruk av itutstyr Arbeidsgiver er pliktig til å lagre logger for bruk av virksomhetens informasjonssystemer i tre måneder. Det er strenge regler for adgangen til å bruke slike logger/elektroniske spor til å overvåke arbeidstaker Arbeidsgiver kan ikke overvåke arbeidstakers bruk av elektronisk utstyr (internettsider man besøker mm) utover det å administrere systemet eller avdekke/oppklare brudd på sikkerheten i systemet 22.11.2017 Personvern 78
Ansattes bruk av sosiale medier Utgangspunkt er at arbeidsgiver ikke kan nekte ansatte å uttale seg i sosiale medier så lenge det skjer på eget utstyr og i fritiden Arbeidsgiver kan bruke styringsretten til å fastsette retningslinjer for bruk av sosiale medier i arbeidstiden Retningslinjene kan benyttes til å lage rutiner for bruk/tidsbruk Brudd på retningslinjer = arbeidsgiver kan reagere med sanksjoner 22.11.2017 Personvern 79
PERSONALMAPPER Hva kan lagres og hvor lenge? Hvem skal ha tilgang?
Hva kan lagres i personalmappen? Opplysningene som lagres skal være saklige og relevante Opplysningene skal kun brukes til uttrykkelig angitte formål Eksempler på dokumenter som kan lagres: Søknad på stilling, attester for utdanning/praksis, kursbevis, arbeidskontrakt, dokumenter om lønnsinnplassering og pensjon mv, permisjoner, referat fra medarbeidersamtale, advarsler 22.11.2017 Personvern 81
Hva kan lagres i personalmappen? Eksempler på opplysninger som kan lagres: Navn, adresse, statsborgerskap, telefonnummer, fødselsnummer, kjønn, sivilstand, antall barn og barnas fødselsår, stillingsbetegnelse, opplysninger om utdanning/kurs/praksis, lønn, kontonummer, trekk- og skatteopplysninger, ansettelses- og sluttdato, sluttårsak, fraværsdato, type fravær og varighet, firmabil, utlånte eiendeler, ansattlån, opplysninger om den ansatte er mobiliseringsdisponert 22.11.2017 Personvern 82
Hvor lenge kan opplysningene lagres? Arbeidsgiver kan ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med bruken av personopplysningene Hva betyr det? Advarsler her kan det oppstå uenighet om lagring er nødvendig 22.11.2017 Personvern 83
Hvem skal ha tilgang til personalmappen? Personalmappen inneholder informasjon som den enkelte arbeidstaker anser som personlig Mange av opplysningene er sensitive personopplysninger Innholdet bør derfor være tilgjengelige kun for en svært begrenset krets av personer Innholdet må beskyttes mot uautorisert innsyn 22.11.2017 Personvern 84
Krav om innsyn Arbeidstaker har krav på innsyn i alle opplysninger om seg selv Retten til innsyn gjelder også skyggearkiv Innsyn i kollegers personalmappe KUN hvis kollegaen samtykker Arbeidsgiver har plikt til å behandle et skriftlig krav om innsyn innen 30 dager Arbeidsgiver har en snever adgang til å unnta opplysninger og må eventuelt begrunne det skriftlig med henvisning til unntakshjemmel 22.11.2017 Personvern 85
Retting og sletting fra personalmappen En arbeidstaker som mener at arbeidsgiver oppbevarer opplysninger som er uriktige, ufullstendige eller unødvendige kan kreve retting eller sletting Når et arbeidsforhold opphører skal arbeidsgiver gjennomgå personalmappen og slette unødvendig informasjon Arbeidsgiver kan fortsatt lagre opplysninger om hvem som har jobbet i bedriften, hvor lenge og hva slags stilling/oppgaver vedkommende hadde 22.11.2017 Personvern 86
AVSLUTNING AV ARBEIDSFORHOLD Hva må arbeidsgiver huske på?
Avvikling og sletting av epost Når et arbeidsforhold opphører plikter arbeidsgiver straks å avslutte den ansattes epostkasse Å legge inn automatisk videresending av epost til arbeidsgiver for ansatte som har sluttet er heller ikke tillatt OBS mange av sakene for Datatilsynet dreier seg om dette Bedriften risikerer bot Arbeidsgiver skal innen rimelig tid slette epost og filer knyttet til arbeidstakers bruk av bedriftens utstyr 22.11.2017 Personvern 88
Sjekkliste ved avslutning av arbeidsforhold I god tid før siste arbeidsdag bør arbeidstaker pålegges å arkivere virksomhetsrelatert epost og filer, samt slette privat innhold Epostkonto og tilgang til systemer bør avsluttes straks arbeidsforholdet opphører I oppsigelsestiden - benytt fraværsmelding med beskjed om at arbeidsforholdet avsluttes, samt informasjon om hvem i bedriften som er ny kontaktperson Arbeidsgiver må innen rimelig tid gjøre en vurdering av om det er grunnlag for videre lagring eller om resterende eposter/filer skal slettes 22.11.2017 Personvern 89
HVIS VI FÅR TID Gjennomgang av maler fra Arbinn.no
Prosess for å sikre riktig håndtering av personopplysninger Datakartlegging Avviksanalyse Internkontrolldokument 22.11.2017 Personvern 91
DATAKARTLEGGING Denne finner du i arbinn.no
AVVIKSHÅNDTERING Denne finner du i Arbinn.no
OPPSUMMERING OM GDPR
6 hovedpunkter i GDPR Meldeplikt ved sikkerhetsbrudd Risikovurdering (DPIA) Innebygd personvern Databehandleravtale Sletting retten til å bli glemt Registrertes rettigheter 22.11.2017 Personvern 99
Husk Forankring hos ledelsen Oversikt og kontroll gjennom kartlegging Prosesser og rutiner tilpasset bedriften som løpende vedlikeholdes 22.11.2017 Personvern 100
Fortsatt usikker? Kontakt en advokat i Norsk Industri Telefonvakt for arbeidsrett og tariff tlf nr 23 08 88 88 www.norskindustri.no 22.11.2017 Personvern 101