Dette må HR vite om ny personopplysningslov - GDPR

25. mai 2018 trer EUs personvernforordning, GDPR, i kraft i Norge. Det får blant annet betydning for HR, som henter inn og behandler mye data om egne ansatte.

I et Infotjenester-webinar gikk advokat og en av Norges fremste eksperter på GDPR, Eva Jarbekk, gjennom noen av problemstillingene HR må forberede seg på i forbindelse med det nye regelverket.

Ansatte får utvidet innsynsrett

En av endringene HR må være klar over, er at ansatte får utvidet rett til innsyn i opplysninger arbeidsgiver sitter på om dem.

- I offentlig sektor er det i dag et unntak for intern saksbehandling som videreføres, men det videreføres ikke i privat sektor. Det betyr at den ansatte kan kreve innsyn i alt knyttet til rekrutteringer, vurderinger og varslingssaker. Derfor kan det være lurt å se på hvilke rutiner man har for notater og lignende, for å være sikker på at det materialet man har faktisk kan leveres ut dersom den ansatte krever det, sa Jarbekk i Webinaret.

Jarbekk sier dette er et område hun trodde departementet ville innføre en egen nasjonal regel som strammer inn, slik vi har i dag. Det har de imidlertid eksplisitt sagt at de ikke kommer til å gjøre.

Ansatte skal få vite alt

Norske arbeidsgivere bør også merke seg at det skal være såkalt full transparens mellom hva som skjer og hva den ansatte får vite.

- Det betyr at den ansatte skal få vite nøyaktig hva som skjer med sine egne personopplysninger, hvor lenge de ulike opplysningene lagres, med hvem de deles og om opplysningene brukes i en eller flere skytjenester som gjør at de er tilgjengelig fra eller er lagret i et tredjeland utenfor EU og EØS.

Hvor er data lagret

Grunnen til at det er viktig å vite om data blir lagret i eller er tilgjengelig i tredjeland utenfor EU/EØS er at slik overføring av data må følge bestemte regler og avtaler.

- Du må stille spørsmål til leverandøren av skybaserte systemer om hvorvidt serverne dataene lagres på befinner seg utenfor EU og EØS. Hvis det er tilfelle er det åpenbart en overføring til et tredjeland. I tillegg er det viktig å avklare om personer som har tilgang til disse dataene og kan jobbe med dem befinner seg utenfor EU/EØS. Husk at dette gjelder selv om personopplysningene er krypterte, minner Jarbekk om.

Simployer lagrer data i Norge

Infotjenesters teknologidirektør Flemming Ottosen, som også deltok i webinaret, forsikrer at HRM-systemet Simployer (tidligere HRessurs) lagrer alle data i Norge.  

- I Infotjenester lagrer vi alle kundenes data på servere i Norge. Vi bruker også Microsoft Azure til vår integrasjonsplattform, men lagrer ikke kundenes data permanent på Microsoft sine servere. Kundenes data er heller ikke tilgjengelig for utviklere eller andre som befinner seg utenfor EU/EØS-området, forsikrer Ottosen.

Tilpasses fortløpende

Ottosen sier at Infotjenester jobber kontinuerlig med å tilpasse Simployer til GDPR, og etter hvert som det norske regelverket blir klart vil det bli gjort tilpasninger som kommer alle kunder til gode. Han minner om at det er arbeidsgiver som er ansvarlig for at regelverket følges.

- Vi som leverandør skal sørge for at systemet legger til rette for at brukerne får gjort det de trenger å gjøre for å etterleve regelverket, sier Ottosen.

Ikke be om samtykke

Et spørsmål som kom frem i webinaret, var hvorvidt arbeidsgiver bør hente inn samtykke for å registrere opplysninger om sine ansatte. Det fraråder advokat Eva Jarbekk på det sterkeste.

- Her er jeg klinkende klar: Arbeidsgiver bør ikke be om samtykke til mer enn nødvendig. I stedet bør arbeidsgiver bruke arbeidsavtalen eller såkalt «berettiget interesse» som hjemmel for å samle inn og behandle personopplysninger. Forutsetningen er at du kan legge frem en vurdering som viser at du er dekket av en av disse hjemlene. Et samtykke kan trekkes tilbake, noe du er pliktig til å opplyse om når du innhenter samtykke, og hva skal du gjøre dersom arbeidstakeren trekker det tilbake? Da kan du ikke i etterkant si at du beholder opplysningene likevel på bakgrunn av et annet hjemmelsgrunnlag, sier Jarbekk.