Fra medio mai neste år trer etter alt å dømme det nye EU-regelverket om personvern i kraft i Norge, gjerne omtalt som GDPR (General Data Protection Regulation). Dette har skapt stor usikkerhet for mange ledere i organisasjoner og bedrifter.
Forslag til en norsk lovtekst blir sannsynligvis lagt frem for Stortinget mot slutten av 2017 eller tidlig i 2018. Siden dette er en forordning fra EU må den bli implementert i sin helhet i norsk regelverk. Det er åpnet for å gjøre nasjonale tilpasninger, men hvilke tilpasninger det legges opp til blir først kjent når høringsdokumentet legges frem.
Nye personvernregler – hvem, hva og hvorfor
Den økte digitaliseringen krever større bevissthet og rutiner rundt hvordan virksomheter innhenter og behandler personopplysninger i arbeidsforholdet. De nye forordningene vil berøre alle virksomheter som behandler personopplysninger; som i praksis vil si alle virksomheter med ansatte.
Eksempler på slike personopplysninger er personalia, informasjon om pårørende, sykefravær, advarsler, ferier, informasjon om lønn- og bonuser, arbeidsavtaler, informasjon fra adgangssystemer og videoovervåkning osv. Som arbeidsgiver behandler du mye informasjon om jobbsøkere, nåværende og tidligere ansatte og kanskje også om eksisterende og potensielle kunder. Dette skal alle virksomheter ha et bevisst forhold til og innrette seg etter.
En virksomhet står selvfølgelig fritt til å ansette eller leie inn arbeidskraft for å ivareta personvernet uten at denne eller disse personene har rollen som personvernombud. I slike tilfeller er det viktig at det kommer tydelig fram, både innad og utad i virksomheten, at tittelen, oppgavene og rollen til disse ikke kan forveksles med et personvernombud.
Skal alle ha personvernombud/-rådgiver?
- De fleste offentlige myndigheter og organer vil få krav til personvernombud/-rådgiver, men innenfor privat sektor er det først og fremst bedrifter som har som hovedvirksomhet å drive med regelmessig og systematisk «monitorering» av personer, behandling av sensitive personopplysninger og/eller har opplysninger om straffbare forhold som skal ha dette.
Et sikkerhetsselskap som utfører kameraovervåking på flere kjøpesentre er et slikt eksempel. Å sørge for sikkerheten er hovedvirksomheten og dette forutsetter behandling av personopplysninger via opptak og rapporter. Sikkerhetsselskapet blir derfor pålagt å ha personvernombud. Andre eksempler er banker, forsikringsselskaper, søkemotorer på internett samt internett- og teletilbydere.
Monitorering
Begrepet monitorering begrenses imidlertid ikke bare til aktiviteter på internett. Eksempler på aktiviteter som kan komme inn under begrepet monitorering er:
- Drift av et telekommunikasjonsnettverk
- Målrettet e-postreklame
- Profilering og vurdering i forbindelse med kredittvurdering
- Sporing av lokasjon i mobilapplikasjoner
- Kundeklubber eller lojalitetsprogrammer
- Kameraovervåking
- Bruk av internettilknyttede enheter, som for eksempel smarte biler, automatiske strømmålere, smarthus og lignende
Mange har frem til nå heller ikke tenkt på at de behandler personopplysninger, for eksempel gjennom adgangskontrollsystemer og HR-systemer. Datatilsynet oppfordrer alle virksomheter til å opprette personvernombud. Helt uavhengig om de er pålagt å ha det eller ikke. De mener at en person med kunnskap om og fokus på personvern i en virksomhet kan gjøre en stor forskjell.
Start med kartlegging – sjekkliste fra Kuba og tilbud om kurs kommer snart
Norske arbeidsgivere bør også merke seg at det skal være såkalt full transparens mellom hva som skjer og hva den ansatte får vite.
Kuba Norge AS anbefaler at virksomhetene starter med å kartlegge hvordan man behandler personverndata i dag for å stå bedre rustet til å etterleve de nye reglene. Vi holder på å utarbeide en digital sjekkliste som våre kunder kan benytte i løpet av kort tid. Nærmere informasjon om dette vil komme ganske snart.
Kuba Norge AS vil også tilby kurs om GDPR i flere deler av landet og vi vil snart publisere en kursplan her på vår hjemmeside.
Kuba IK – også et personvernsystem
Kuba IKs moduler vil være utmerket til også å ivareta personvernet i virksomheten. Vi holder på å utvikle en mal for dette arbeidet i systemet og denne vil ikke koste noe ekstra for eksisterende kunder. Har dere også behov for et eget oppslagsverk – en personvernhåndbok, vil den kunne implementeres i systemet for en rimelig sum. Håndboken vil være et nettbasert oppslagsverk med lovtolkninger, artikler, rutiner, sjekklister og andre praktiske verktøy. For å forenkle din hverdag opp mot den nye GDPR lovgivningen.
Kuba IK – som system opp mot de nye reglene
Også vi i Kuba Norge AS, som leverandør av Kuba IK internkontrollsystem, må tilpasse både vår virksomhet og system til det nye regelverket i GDPR. Dette innebærer blant annet at vi vil anbefale deg å inngå en «databehandleravtale» med oss. Etter hvert som det norske regelverket blir klart vil Kuba gjøre tilpasninger som kommer alle kunder til gode. Vi minner om at det uansett er deg som arbeidsgiver som er ansvarlig for at regelverket følges. Vi som leverandør skal dog sørge for at systemet legger til rette for at brukerne får gjort det de trenger å gjøre for å etterleve regelverket.