Laddar meny

GDPR: Konsekvenser for HR

Hvilke implikasjoner får EUs personvernlovgivning for HR-funksjonen?

GDPR (General Data Protection Regulation) trer i kraft 25. mai 2018 og vil ha store konsekvenser for måten virksomheter behandler personopplysninger.

 Hovedmålene med den nye personvernlovgivningen er:

  • Øke rettighetene for enkeltpersoner.
  • Øke kravene til hvordan virksomheter håndterer personaldata

Og der en før fikk litt kjeft og kanskje en hakk i omdømmet sitt vil det med GDPR komme kraftige bøter. Bøter i størrelsen 4% av GLOBAL omsetning! Det gjør at ingen har råd til å stikke hodet i sanden og la være å etterkomme lovverket.

Derfor har vi laget en liten oversikt ulike aspekter ved GDPR og hvilke konsekvenser det har for HR-funksjonen.

 

Hvordan påvirker GDPR HR-funksjonen?

Det er mange lover som regulerer forholdet mellom arbeidstaker og arbeidsgiver, og med ansatte som bruker jobbverktøy til private formål og private verktøy til jobbformål blir personvern veldig komplisert. Som regel har arbeidsgiver hatt de fleste kortene på sin hånde, men det vil endre seg med GDPR.

Mer detaljerte personvernerklæringer

Under GDPR skal arbeidsgivere gi ansatte og arbeidssøkere mer detaljert informasjon i personvernerklæringen en det som er kravet i dag:

  • Hvor lenge persondataene blir lagret
  • Om personopplysningene blir sendt ut av landet
  • Informasjon om retten til å få innsyn i hvilke persondata virksomheten lagrer
  • informasjon om retten til å slette personopplysninger

Som du forstår krever dette at du også har kontroll på alle prosesser som involverer personaldata. Hvor søknader lagres, hvordan personlighetstester behandles, timeregistreringsdata.

Samtykke blir vanskeligere

Mange arbeidsgivere forsvarer sin behandling av personopplysninger med at de har samtykke fra medarbeiderne. Denne tilnærmingen har blitt stadig mer kritisert fordi det er tvil om hvorvidt samtykke er gitt fritt i en relasjon der maktforholdet er så skjevt som mellom arbeidsgiver og ansatte.

Under GDPR skjerpes kravene til samtykke. Det må blant annet spesifiseres mer hvilke ulike ting ansatte gir sitt samtykke til, og ansatte må kunne trekke sitt samtykke fra enkeltelementer til enhver tid.

Vi anbefaler arbeidsgivere å gå igjennom hvordan de behandler persondata, se etter om det er unødvendige prosesser som kan lukes bort, lage gode prosedyrer og få alt på stell. MEN: Det vil også bli nødvendig og se etter andre lovhjemler enn samtykke for å håndtere persondata

Bedre kontroll på data og prosesser

Arbeidsgivere må kunne fremskaffe detaljert informasjon om hvilke personopplysninger de samler inn, hvorfor den samles inn og hvordan den brukes. Her snakker vi om kontroll som er dokumenterbar og som vil tåle en rettssak.

Sikkerhetsbrudd må varsles raskt

GDPR pålegger obligatorisk varsling ved brudd på datasikkerheten. Dersom det for eksempel foreligger et utilsiktet eller ulovlig tap/avsløring av personopplysninger (hacking/ uvørenhet), må arbeidsgiveren underrette om og gi visse opplysninger til myndigheten innen 72 timer. Dersom bruddet utgjør en høy risiko for individers rettigheter og friheter, må de enkeltpersonene også bli varslet.

IT-sikkerhet vil bli noe også HR må ta mer ansvar for.

Personvernombud

Alle offentlige myndigheter og private selskaper som regelmessig overvåker eller behandler sensitive data, må utnevne et personvernombud som skal:

  • gi råd om virksomhetens forpliktelser vedrørende GDPR
  • overvåke at virksomheten etterkommer kravene
  • være kontaktperson til myndighetene (Datatilsynet)

 

Tiltaksplan for GDPR for HR

Samarbeid og forståelse av GDPR på tvers av virksomheten er kritisk for å komme i mål, og organisasjonen vil trenge at både HR, marked, IT og andre som håndterer personopplysninger forstår hva som skjer.

De viktigste trinnene for HR å ta nå inkluderer blant annet:

Kartlegg personaldata og prosedyrer

Få oversikt over hvilke HR-data dere har, hvordan dere skaffer dem, hva dere gjør med dem. Dokumentér alle prosedyrer skikkelig.

Gå igjennom eksisterende personvernerklæringer og oppdater dem for å overholde de mer detaljerte informasjonskravene. Husk at all informasjon som oppgis må være enkel for ansatte og jobbsøkere å forstå.

Sett dere inn i regelverket og hold dere oppdatert.

Du finner lovtekstene og mye informasjon på Datatilsynets nettsider og de har også en fin onepager om EUs personvernforordning (pdf).

GDPR gir også uttrykkelig tillatelse til at enkelte medlemsstater innfører mer spesifikke regler for behandling av HR-relaterte personopplysninger. Det innebærer at spesifikke regler om behandling av personopplysninger med hensyn til rekruttering, utførelse av ansettelseskontrakt, mangfold, helse og sikkerhet etc. fortsatt kan vedtas på nasjonalt nivå.

For HR-fagfolk vil det derfor være viktig å fortsatt følge med på utviklingen av nasjonale lover og retningslinjer innen personvern på arbeidsplassen, i tillegg til den mer generiske GDPR. 

Tilpass virksomheten til lovverket

Identifiser eventuelle hull i forhold til GDPR og oppdater kontrakter, policyer for internettbruk og hvordan en lagrer og sender fra seg data

Vurder juridisk grunnlag. Hvordan dere juridisk begrunner behandling av ansattes personopplysninger vil endre seg. Hvis dere lener dere på samtykke, kontroller om det oppfyller GDPR-kravene eller ikke, og husk at samtykket kan tilbakekalles når som helst. Arbeidsgivere vil generelt måtte stole på en av de andre juridiske grunnene til å fortsette å behandle ansattes personopplysninger. Få kotroll på hvilke.

Lag rutiner for varsling av brudd på datasikkerheten. Fordel ansvar og trene ansatte til å gjenkjenne og takle sikkerhetsbrudd. Få på plass hensiktsmessige retningslinjer og prosedyrer.

Finn ut om dere må ha et personvernombud, og finn ut hvordan man best kan rekruttere og trene vedkommende. Tenk også over hvor i organisasjonen en slik bør komme fra/være plassert.

Velg dyktige samarbeidspartnere

GDPR vil ikke bare gjelde for arbeidsgivere som behandler personopplysninger for sine ansatte, men også for HR-tjenesteleverandører som behandler slike data på vegne av arbeidsgiveren ("dataprosessorer").

Dette er en viktig endring i forhold til gjeldende lovramme, hvor tjenesteleverandører (f.eks. opplæring-, timeføring- eller andre HRM/HRIS -leverandører) kun har en avtalt forpliktelse overfor arbeidsgiveren, men ikke er direkte ansvarlig for å overholde personvernlovgivningen.

 

Hvordan komme i gang?

Atea har gjort undersøkelser som viser at kun 1 av 10 virksomheter har startet arbeidet. Ikke vær blant dem som stikker hodet i sanden! Det å ikke etterkomme kravene i EUs personvernsforordning kan sette hele levegrunnlaget til virksomheten i fare. 

Hva er personopplysninger?

Lovverket opererer med to ulike begreper om data knyttet til personvern: personopplysninger og sensitive personopplysninger.

 

Personopplysning er en opplysning som kan knyttes til deg som enkeltperson; navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder, fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) og fødselsnummer (både fødselsdato og personnummer).

 

Opplysninger om atferdsmønstre regnes også som personopplysninger. Eksempler på dette kan være hvor du handler, hva du handler, hvilke tv-serier du ser på, hvor du trener og hva du søker googler.

 

Sensitive personopplysninger er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger.

Kilde: Datatilsynet

Atea kan hjelpe!

GDPR krever forståelse av både det tekniske og det forretningsmessige. Din virksomhet må klare å håndtere personvern uten at det ødelegger for verdiskapingen, og det krever at dere gjør de riktige grepene

Atea har rådgivere med bred erfaring og kunnskap innenfor både lovverk, teknologi og forretning. Vi har Norges største fagmiljø innen både IT-sikkerhet og forretningssystemer, og har god forståelse for hvordan teknologiene kan hjelpe din virksomhet til å beskytte personvernet og etterfølge GDPR-lovgivningen.

 

25. Mai 2018 er ikke lenge til. Ta kontakt med oss i dag, så kommer vi i gang med arbeidet så raskt som mulig.

  

Snakk med en av våre rådgivere om GDPR







Atea.no oppfattes bedre hvis du oppdaterer nettleseren din. Her finner du en ny versjon av Internet Explorer