GDPR og behandling av personopplysninger

Hva må HR og ledere i staten passe på når GDPR innføres i Norge?

GDPR (General Data Protection Regulation) er EUs personvernordning.

GDPR trådte i kraft 25. mai 2018 i EU. Justisdepartementet har nylig uttalt i en pressemelding at de forventer at den nye personopplysningsloven vil settes i kraft i løpet av juli 2018.

Elektronisk behandling av personopplysninger

Forordningen vil bli en del av norsk rett gjennom EØS-avtalen og den nye personopplysningsloven. Personvernforordningen og den nye personopplysningsloven erstatter det tidligere personverndirektivet og den norske personopplysningsloven fra år 2000.  

Personvernforordningen og den nye personopplysningsloven har et svært vidt nedslagsfelt. Reglene gjelder all elektronisk behandling av opplysninger som kan knyttes til en enkeltperson. I tillegg gjelder den opplysninger som inngår i et personregister.

HR og ledere i staten vil være forpliktet til å etterleve personvernreglene, når de samler inn, lagrer, sammenstiller, videresender eller på andre måter bruker informasjon om ansatte eller annet personell. Under har vi samlet informasjon om hva som fremdeles vil gjelde og hva som er nytt og hvilke felt av GDPR som spesielt vil gjelde ledere oh HR i staten.

Bakgrunnen for GDPR

Bakgrunnen for at vi nå får nye personvernregler er ønsket om å harmonisere regelverket i større grad, blant annet for å stimulere til økonomisk vekst og målsetningen om et felles indre marked.

Man ønsker også å gi personer større grad av kontroll over egne personopplysninger. Siden personverndirektivet kom i 1995, har samfunnet gjennomgått en enorm digital og teknologisk utvikling. Dette har medført at personopplysninger samles inn og behandles i langt større grad enn tidligere, og behovet for personvern og beskyttelse av personopplysninger har derfor økt.

I arbeidslivet benytter arbeidsgiver i stadig større grad seg av elektroniske hjelpemidler som medfører at det registreres stadig større mengder av opplysninger om de ansatte. 

Hva blir som før med GDPR?

Behandlingen av personopplysninger om ansatte i statlig sektor er underlagt de samme reglene i personvernforordningen som i privat sektor. Personvernforordningen inneholder i liten grad bestemmelser som særlig retter seg mot HR og ledere i staten.

GDPR viderefører i stor grad gjeldende regler, inklusive de grunnleggende personvernprinsippene, som på mange måter utgjør essensen av hva dette regelverket dreier seg om.

Artikkel 5 i GDPR er derfor en bestemmelse som arbeidsgivere i alle sektorer bør gjøre seg kjent med og få en grunnleggende forståelse av. Her slås fast at det er et grunnleggende krav at

  • arbeidsgiver må ha et legitimt formål med bruken av ansattopplysninger,
  • det må foreligge en hjemmel – et rettslig grunnlag
  • personopplysninger skal slettes når det ikke lenger er et saklig behov for å beholde opplysningene.

I tillegg gjelder fortsatt krav om at opplysninger som behandles skal være

  • korrekte og oppdaterte
  • ikke være mer omfattende enn det som er nødvendig for å ivareta formålet
  • underlagt informasjonssikkerhet

Må identifisere formålet

For arbeidsgivere vil det da fortsatt være viktig å identifisere formålet med enhver bruk av personopplysninger om ansatte. Formålet vil være styrende for hvilke opplysninger som kan behandles, hva opplysningene kan brukes til, hvem som kan få tilgang og hvor lenge de kan lagres.

Arbeidsgivere vil som før ha vid adgang til å behandle nødvendige opplysninger om ansatte. Dette fordi de skal kunne oppfylle ansettelsesavtalen, sine rettslige forpliktelser og ivareta berettigede interesser som er mer tungtveiende enn personvernulempen for den ansatte.

Lovgiver har sørget for en egen hjemmel i den nye loven som sikrer at arbeidsgivere har adgang til å behandle sensitive personopplysninger om ansatte der dette er nødvendig for å oppfylle arbeidsrettslige plikter eller rettigheter.

Må arbeidsgiver ha samtykke?

Samtykke vil fortsatt i liten grad være egnet som rettslig grunnlag for behandling av personopplysninger om ansatte. Den spesielle relasjonen mellom arbeidsgiver og arbeidstaker gjør at et samtykke sjelden vil være frivillig, noe som er et krav etter personvernlovgivningen. Samtykke som grunnlag for bruk av ansattopplysninger er praktisk når det gjelder bruk av bilde på nett (internt og eksternt), eller som grunnlag for lagring av CV mv. i en kandidatdatabase.

Innsyn i personopplysninger

De særlige reglene om arbeidsgivers rett til innsyn i ansattes epostkasse og reglene om kameraovervåking på arbeidsplass, vil i hovedsak vil bli videreført. Lovgiver har signalisert at reglene vil bli gitt med hjemmel i arbeidsmiljølovens kapittel 9 om kontrolltiltak.

Også de særlige reglene som regulerer arbeidsgivers adgang til å bruke fødselsnummer videreføres.

De praktisk viktige unntakene fra ansattes rett til informasjon og innsyn i egne personopplysninger videreføres også. Dette gjelder blant annet adgangen for arbeidsgiver til å gjøre unntak for innsyn når arbeidsgiver driver intern saksforberedelse, og unntak er nødvendig for å sikre forsvarlige interne avgjørelsesprosesser.

Hva er nytt med GDPR?

Større ansvar for å sikre og dokumentere at regelverket følges

Den nye personvernforordningen pålegger arbeidsgiver et større ansvar for å sikre og dokumentere at personvernreglene følges. Melde- og konsesjonsplikt bortfaller. Arbeidsgiver må selv sørge for en rekke tiltak, som å føre protokoller over sine behandlingsaktiviteter, melde fra om sikkerhetsbrudd, foreta risikovurdering og dybdeanalyse av personvernkonsekvenser og sørge for at personvern bygges inn i systemer. For arbeidsgivere vil disse kravene for eksempel gjelde ved tilknytning til et nytt HR-system. 

Den registrerte får styrkede rettigheter

Personvernforordningen innebærer at den ansatte – den registrerte – får enkelte nye rettigheter og at allerede gjeldende rettigheter blir forsterket. Dette gjelder særlig:

  • Etablering av et strengere krav til gjennomsiktighet ved behandling av personopplysninger. Dette betyr at den ansatte i enda større grad enn før har krav på god og tydelig informasjon om den behandlingen av personopplysninger som arbeidsgiver holder på med. Det er et krav at informasjonen skal gis på en kortfattet, åpen, forståelig og lett tilgjengelig måte.
  • Rett til å få utlevert en kopi av de personopplysninger som arbeidsgiver har om en ansatt, og i visse tilfeller også en rett til å få overført disse til en ny behandlingsansvarlig (dataportabilitet).
  • Rett til å motsette seg profilering.
  • Vilkårene for gyldig samtykke skjerpes.
  • En rett til å bli glemt, altså en rett til å kreve at den behandlingsansvarlige sletter personopplysninger om vedkommende. Ansattes rett til å bli glemt medfører imidlertid ikke noen utvidet sletteplikt for arbeidsgiver. Dersom arbeidsgiver har et saklig behov for å beholde opplysningene, for eksempel for videre oppfølging av ansettelsen, så vil dette gå foran.

Lagringsperioder og sletterutiner for ulike typer av ansattdata må fastsettes basert på en konkret vurdering av virksomhetens legitime behov.

Myndigheter og økte sanksjoner

Datatilsynet får vesentlig kraftigere sanksjonsmuligheter. Ved personvernforordningen endres den øvre grensen for overtredelsesgebyrer fra 10 ganger folketrygdens grunnbeløp til 20 millioner euro. Spørsmålet om det skal ilegges gebyr og gebyrets størrelse skal avgjøres basert på overtredelsens art og alvor.

Bestemmelsene om overtredelsesgebyr vil også gjelder for det offentlige.

Gjennomføringen av personvernforordningen innebærer at det europeiske Personvernrådet kan treffe avgjørelser som er bindende for det norske Datatilsynet. Personvernrådet vil utarbeide retningslinjer for tolkningen av forordningen og får også myndighet til å fatte beslutninger i tvister vedrørende behandling på tvers av landegrenser. Videre legger forordningen opp til at tilsyn og kontroll for grenseoverskridende behandlinger som hovedregel kun skal foretas av tilsynsmyndigheten i det landet der virksomheten har sitt hovedkontor.

Krav om personvernombud

For offentlig myndighet eller organ innføres det en plikt om å ha personvernombud. For HR og ledere i staten vil personvernombudet ha en viktig rolle som støttespiller for å sikre at personvernet til de ansatte blir ivaretatt.

Plikten til å utpeke personvernombud gjelder for alle forvaltningsorganer som omfattes av forvaltningsloven § 1 annet punktum. Personvernombudet skal informere og gi råd, kontrollere overholdelse av personvernregelverket internt i virksomheten, gi råd om vurdering av personvernkonsekvenser og samarbeide med Datatilsynet.

Mer om Personvernombud (datatilsynet.no)

GDPR og spesielle lover for staten

Personvernforordningen gjelder like fullt i offentlig som i privat sektor, men noen krav vil være særlig aktuelle for det offentlige og staten.

Kravet om opprettelse av personvernombud i offentlig sektor er ett konkret eksempel der det offentlige er i særstilling.

Personvernforordningens vil trolig stille krav til at man i det offentlige foretar en nærmere vurdering av hvem som er behandlingsansvarlig, særlig i tilknytning til fellesfunksjoner, for eksempel innenfor HR-området.

Det offentlige må også, som det private, ha et særskilt fokus på rutiner for sletting av personopplysninger.

Innenfor offentlig sektor er det også annen lovgivning som angår behandling og bruk av personopplysninger. Følgende særreglene som berører behandling av personopplysninger i det offentlige bør du som representant for HR eller som leder kjenne til:

Statsansatteloven

Inneholder særskilte regler som angir at opplysninger om ordensstraff kan lagres i fem år. Etter fem år skal ordensstraffen slettes fra den enkelte arbeidstakers personalmappe. Når opplysningene er slettet, skal de håndteres etter regelverket for arkiv. For andre arbeidsrettslige reaksjoner, som ikke er ordensstraff, gjelder personopplysningslovens regler om sletting når formålet tilsier det.

Arkivloven

Arkivloven inneholder særlige regler om lagring av personopplysninger for det offentlige.Arkivloven sier at alle offentlige organer må ha arkiv. Etter personvernforordningen vil den lovfestede bevaringsplikten gå foran den registrertes rett til sletting.

Det er igangsatt et arbeid med å revidere arkivloven der det trolig vil være naturlig også å se nærmere på forholdet til personvernforordningen og den nye personopplysningsloven.

Offentleglova

Etter offentleglova har allmennheten rett til innsyn i offentlige dokumenter. Denne rettigheten kan påberopes av enhver, inkludert ansatte og tillitsvalgte i virksomheten. Etter personopplysningsloven har ansatte kun rett til innsyn i opplysninger om seg selv. Personopplysningsloven medfører i utgangspunktet ingen begrensing på innsynsrett etter offentleglova. Forholdet mellom offentleglova og personopplysningsloven vil bli nærmere vurdert i sammenheng med arbeidet med å evaluere offentleglova.

Også andre tilgrensende regelverk vil kunne bli gjenstand for nærmere vurderinger og endringer fremover, etter hvert som man eventuelt ser behovet for tilpasninger som en følge av personvernforordningen.

 

Publisert: 13. jun 2018, Sist endret: 13. jun 2018

Deldette

Fant du det du lette etter?

Fant du det du lette etter?
*