Personvern og GDPR

4human

GDPR

Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger. EUs forordning for personvern ble norsk lov i 2018. Det nye regelverket ga virksomheter nye plikter og enkeltpersoner nye rettigheter. Konsekvensene for norske bedrifter kan være svært store. Det krever en del ressurser for å sette seg inn i de nye reglene, lage nye rutiner og lære opp sine ansatte. De bedriftene som i dag er i samsvar med dagens personopplysningslov har et lettere løp for å tilpasse seg de skjerpede kravene i GDPR-forordningen. Det anbefales derfor at man setter seg inn i hva de nye personvernreglene betyr for din virksomhet så raskt som mulig, og lager en plan for overgangen. Vi anbefaler hjemmesiden til Datatilsynet som inneholder mye god informasjon og mange veiledere til de viktigste vurderingene/prosessene som bedriften må gjennomføre. De nye personvernreglene kan blant annet ha betydning for hvordan virksomheten benytter seg av skytjenester, intranett, sosiale nettverk eller forretningssystemer herunder HR.

Datasikkerhetsreguleringen (The General Data Protection Regulation – GDPR) skal samordne felles regler for personvern for alle EU- og EØS-borgere.

Les om flere relevante personal-temaer her.

Nye plikter for alle virksomheter

GDPR skjerper kravene og det kreves at hver bedrift utfører en konsekvensvurdering (Data Protection Impact Assessment) hver gang persondata skal benyttes til et formål, og skal sørge for at man følger de nye pliktene som vil gjelde etter ny lov. Det er ledelsen som har ansvaret for å utforme de nye rutinene, men alle ansatte i organisasjonen må kjenne til og følge de. Hvis man ikke følger reglene kan man risikere å få bøter som er vesentlige høyere enn etter dagens lov.

Noen viktige hovedpunkt

  • Alle norske bedrifter vil bli påvirket av GDPR lovgivningen i større eller mindre grad. Derfor må du som arbeidsgiver finne ut hva det faktisk betyr for din virksomhet.
  • Den ansatte i rollen som Registrert har 7 individuelle rettigheter og disse avstemmes mot andre lover/regler som bedriften er pålagt.
  • Bedriften – som Behandlingsansvarlig – har informasjonsplikt ovenfor sine ansatte (Registrerte) om hvilket behandlingsgrunnlag (formål og lagringsperiode) som er gjeldende.
  • Innsamling og behandling av persondata skal være basert på et lovgrunnlag eller samtykke. Samtykket skal imidlertid kunne endres eller trekkes. I et arbeidsforhold er det ansettelseskontrakten med vedlegg som skal regulere bruken av ansattes persondata.
  • Alle som behandler persondata skal ha en lett tilgjengelig, dekkende og forståelig personvernserklæring.
  • Alle bedrifter skal vurdere risiko og personvernkonsekvenser ved all databehandling. Ved stor risiko, skal datatilsynet kontaktes for forhåndsdrøftelse av risikohåndtering.
  • Databehandlere (f.eks skytjeneste-leverandører) som behandler data plikter blant annet å varsle bedriften/Behandlingsansvarlig om de får instruksjoner som er i strid med GDPR og bedriften må godkjenne eventuelle nye underleverandører. En databehandler kan bli holdt økonomisk ansvarlig sammen med oppdragsgiver for behandling av persondata i strid med GDPR.
  • Det stilles krav til at alle nye løsninger som inneholder personopplysninger har et innebygd personvern. Det vil si at løsningene skal gi så godt personvern som mulig.
  • Alle offentlige etater må opprette Personvernombud mens private bedrifter må vurdere om de er innenfor de kriteriene som Datatilsynet har informert om. Se veileder hos Datatilsynet.
  • Ved avvik som skyldes brudd på gjeldende lov skal det sendes skriftlig varsel til de ansatte og Datatilsynet
  • Det skal være mulig å få utlevert sine egne personopplysninger (dataportabilitet) i et elektronisk format dersom den ansatte ber om dette før eventuell fratredelse.
  • Reglene gjelder også i virksomheter utenfor Europa dersom de driver med virksomhet som inkluderer persondata for EU- eller EØS-borgere.
  • Det anbefales at bedrifter i samme bransje eller sektor samarbeider om å utarbeide bransjenormer, som skal sikre at bransjen eller sektoren behandler personopplysninger på en god og riktig måte i forhold til bransjens spesielle behov.

Hva virksomheten bør gjøre nå

Som nevnt tidligere er det anbefalt at virksomheter allerede nå setter seg inn i de nye personvernreglene og hvilken betydning det vil ha for virksomheten. Det første du burde gjøre er å skaffe en oversikt over hvilke personopplysninger virksomheten behandler, hvor de kommer fra og hva som er det rettslige grunnlaget for behandlingen. Deretter bør du sørge for at bedriften oppfyller dagens lovkrav. Dette vil gjøre overgangen til nye regler lettere. Til slutt bør dere allerede nå lage rutiner for å følge de nye reglene samt oppdater rutiner dere allerede har for behandling av personopplysninger.

Digitale håndbøker

Personalhåndbok

HMS-håndbok

Onboardingshåndbok

Personvernhåndbok

Innen HRM leverer 4human HRM leder- og personalsystemet Evolution. Dette komplette lederverktøyet forenkler og forbedrer lederens oppgaver og rutiner, gjennom bedret kontroll, enkelhet og organisering.

KONTAKT OSS

   salg@4humanHRM.no
   97 00 99 95       + tast 1
   Rådhusgata 23B, 0158 Oslo
   Tuneveien 89, 1712 Grålum

   Skogstøstraen 25, 4029 Stavanger
   Meld deg på Nyhetsbrev