Ansvarlig innsamling og bruk av personopplysninger er ikke bare et juridisk krav for selskaper. For å bygge tillit må bedrifter være transparente på hvordan de behandler data og innhenter samtykke i samsvar med GDPR (General Data Protection Regulation).
Enhver form for behandling av personopplysninger må ha et gyldig rettslig grunnlag for å være lovlig. Bedrifter skal derfor ha identifisert om det er grunnlag for behandling før opplysningene samles inn. Hvis det ikke finnes et slikt grunnlag, vil bruken av personopplysningene være ulovlig.
Hva er GDPR?
GDPR står for "General Data Protection Regulation". Dette er EUs nyeste forordning for databeskyttelse og personvern, og ble gjort gjeldende i Norge i juli 2018. Forordningen setter rammer for hvordan virksomheter håndterer personopplysninger. GDPR er et sett med regler utformet for å gi EU-borgere mer kontroll over personopplysningene sine.
Hva er “Personopplysninger”?
Personopplysninger er all informasjon og vurderinger som kan knyttes til deg som enkeltperson.
Personopplysninger omfatter vanligvis informasjon som navn, adresse, telefonnummer, e-postadresse og personnummer. Enkelte typer informasjon, som bilder, betraktes som personopplysning dersom det er mulig å identifisere enkeltpersoner på dem. Lydopptak kan også anses som en personopplysning selv om ingen navn er nevnt i opptaket, så lenge en persons stemme kan gjenkjennes. I tillegg regnes biometriske data som personopplysninger. Dette inkluderer fingeravtrykk, iris mønstre og hodeform (for ansiktsgjenkjenning), da de kan brukes til å identifisere en spesifikk person.
Videre er en dynamisk IP-adresse også definert som en personopplysning i visse tilfeller. Registreringsnummeret på en bil kan være personopplysninger dersom det kan knyttes til en bestemt person, men ikke hvis det er en firmabil som brukes av flere personer.
Artikkel 4 i personopplysningsforordningPersonopplysninger er "enhver informasjon om en identifisert eller identifiserbar fysisk person ("den registrerte"); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, spesielt ved hjelp av en identifikator, for eksempel et navn, en identifikasjon nummer, stedsinformasjon, en online identifikator eller ett eller flere elementer som er spesifikke for den fysiske personens fysiske, fysiologiske, genetiske, psykologiske, økonomiske, kulturelle eller sosiale identitet." |
Spesielle kategorier av personopplysninger - også kalt “sensitive personopplysninger”
Loven definerer en rekke informasjonskategorier som krever mer behandling enn annen informasjon. Begrepet 'sensitive data' refererer til informasjon som kan identifisere en person på en personlig og dyptgripende måte. Dette inkluderer personopplysninger som berører en persons privatliv og mest personlige sfære. Det er avgjørende å begrense og beskytte slike data og gjøre dem utilgjengelige for dem som ikke har tillatelse til å få tilgang til dem. Sensitive data kan inkludere, men er ikke begrenset til, følgende typer informasjon:
- opplysninger om etnisk opprinnelse
- informasjon om politisk oppfatning
- informasjon om religion
- informasjon om filosofiske overbevisninger
- informasjon om fagforeningsmedlemskap
- genetisk informasjon
- biometrisk informasjon med det formål å identifisere noen unikt
- helseopplysninger
- informasjon om seksuelle forhold
- informasjon om seksuell legning
Administrasjon av ansatte i GDPR-kompatibel løsning
Hva må jeg tenke på med hensyn til GDPR?
Systemene og programvarene dine er viktige for å oppfylle GDPR-kravene, og bør være en del av en robust tilnærming til GDPR-samsvar på tvers av organisasjonen.
Mye av det som trengs for å oppfylle GDPR-kravene er knyttet til prosessen, og organisasjoner bør vurdere følgende:
- Identifiser personopplysningene de har og hvor de bor
- Implementere et robust regime for hvordan personopplysninger aksesseres og brukes
- Etabler passende sikkerhetskontroller for å forhindre, oppdage og svare på datainnbrudd og sårbarheter
- Sørg for å svare på forespørsler fra personer som håndhever deres rettigheter innen databeskyttelse (forespørsler om å gi en person en kopi av personopplysningene deres)
- Oppretthold samsvarsdokumentasjon, inkludert registreringer av behandlingsaktiviteter og svar på individuelle forespørsler
- Rapporter datainnbrudd umiddelbart slik loven krever
Relevant lovverk og kompetente myndigheter
Hva er den viktigste databeskyttelselovgivningen?
Den viktigste databeskyttelsen i EU er GDPR (forordning (EU) 2017/679 «General Data Protection Regulation»). GDPR har ført til økt harmonisering av personvernlovgivningen på tvers av EUs medlemsland. Siden Norge ikke er et EU-medlemsland, men en del av EØS, måtte GDPR innlemmes i EØS-avtalen før den kunne implementeres i nasjonal lov. GDPR ble innlemmet i nasjonal lovgivning med den nye Personopplysningsloven, som har vært gjeldende siden 20. juli 2018.
Hvilke myndigheter er ansvarlige for databeskyttelse?
Datatilsynet har ansvar for å overvåke og håndheve Personopplysningsloven og GDPR, og rapporterer årlig til Stortinget om sitt arbeid.
I tillegg fører Norsk kommunikasjonsmyndighet, også kjent som "Nkom," tilsyn og håndheving av Lov om Elektronisk Kommunikasjon, inkludert bestemmelsene om informasjonskapsler.
I denne sammenheng har Datatilsynet utstedt et forbud mot at Meta, som eier Facebook og Instagram, praktiserer atferdsrettet reklame basert på overvåking og profilering av brukere i Norge. Forbudet er i første omgang gjeldende frem til utløpet av oktober.
Definisjoner brukt rundt GDPR-lovgivning
- «Behandling»: enhver operasjon, eller sett med operasjoner, som utføres på personopplysninger eller på sett med personopplysninger, enten ved hjelp av automatiserte midler eller ikke. For eksempel innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, henting, konsultasjon, bruk, avsløring ved overføring, formidling eller på annen måte tilgjengeliggjøring, justering eller kombinasjon, begrensning, sletting eller ødeleggelse.
- «Controller»: er den fysiske eller juridiske personen, offentlig myndighet, etat eller annet organ, som alene eller sammen med andre bestemmer formål og midler for behandlingen av personopplysninger.
- «Behandler»: er en fysisk eller juridisk person, offentlig myndighet, etat eller annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige.
- «Datasubjekt»: refererer til en person som er gjenstand for de relevante personopplysningene.
- «Databrudd»: innebærer et sikkerhetsbrudd som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert avsløring av eller tilgang til personopplysninger som overføres, lagres eller på annen måte behandles.
Territorielt omfang av person-opplysningsloven
Personopplysningsloven gjelder for behandling av personopplysninger som utføres i forbindelse med virksomheten til en etablering av en behandlingsansvarlig eller databehandler i Norge, og uavhengig av om behandlingen skjer i EØS eller ikke.
En virksomhet som ikke er etablert i Norge, men som er underlagt Norges lover i kraft av folkeretten, er også underlagt personopplysningsloven.
Individuelle rettigheter ved håndtering av personopplysninger
De mest sentrale rettighetene enkeltpersoner innehar når det gjelder håndtering av deres personopplysninger inkluderer rett til:
- innsyn i data/kopier av data
- retting av feil
- sletting/rett til å bli glemt
- å protestere mot behandling
- å begrense behandlingen
- dataportabilitet
- å trekke tilbake samtykke
- å motsette seg markedsføring
- rett beskyttelse mot utelukkende automatiserte beslutninger og profilering
- å klage til relevante databeskyttelse myndigheter
Slik etterlever dere GDPR i rekrutteringsprosessen
Kandidater må oppfordres til å søke og registrere seg gjennom et rekrutteringssystem, og ikke via e-post.
Det må gjøres fordi alle personopplysninger skal slettes i etterkant av en rekrutteringsprosess, innen ett år etter at de ble mottatt. Det inkluderer CV-er og søknader, uavhengig om de finnes digitalt eller analogt.
I samsvar med kravene til GDPR må kandidater gi selskapet samtykke til å lagre sine personopplysninger og har også rett til å trekke tilbake samtykket, få innsikt i informasjon om seg selv, endre informasjonen som er lagret eller slette informasjonen fra systemet.
Dersom noen har fått tilgang til personopplysninger de ikke skal ha tilgang til, har det skjedd et brudd på personopplysningssikkerheten. Dersom dette skjer skal de innen 72 timer sende melding om avvik til Datatilsynet.
Databeskyttelsesansvarlig
Lov om behandling av personopplysninger (personopplysningsloven) §19 inneholder en bestemmelse som åpner for at regjeringen kan vedta en forskrift om plikt til å oppnevne personvernombud («DPO»).
Databeskyttelsesansvarlig er underlagt taushetsplikt etter personopplysningslovens §18 og skal være registrert hos Datatilsynet. Generelt har denne personen bakgrunn innen felt som: juridisk, IT, sikkerhet, HR eller compliance.
Bøter ved brudd på GDPR
Bedrifter er i økende grad bekymret for personvernet og sikkerheten til deres personlige data. Internasjonale overføringer av data er et alvorlig diskusjonstema mellom ulike myndigheter. Overholdelse er nødvendig for å unngå risikoen for bøter, tap av data og skade på merkevarens omdømme. Bedrifter som etterlever dette innehar et konkurransefortrinn som bidrar til å bygge brukertillit, utvikle høyere engasjement på lang sikt og øke inntektene.
Brudd på GDPR kan medføre bøter fra Datatilsynet på inntil 4% av selskapets årlige inntekter, avhengig av bruddets alvorlighetsgrad.
Azets kan hjelpe med overholdelse av GDPR
Vil du vite mer, eller har du spørsmål knyttet til overholdelse av GDPR? Ønsker du å avtale en gjennomgang av dine rutiner og få veiledning? Azets har ledende kompetanse innen HR og overholdelse av GDPR, og kan hjelpe deg med å få på plass gode rutiner og system tilpasset din virksomhet. Ta kontakt for en uforpliktende prat: hr.no@azets.com.
