Har du lagret sensitive opplysninger om ansatte?
VET IKKE FORSKJELL: Mange kjenner ikke til hva som er forskjellen på "vanlige" og sensitive personopplysninger, sier Infotjenesters juridiske HR- og ledelsesrådgiver Hans Gjermund Gauslaa.

Har du lagret sensitive opplysninger om ansatte?

Mange vet ikke forskjellen på "vanlige" og sensitive personopplysninger.

     

mandag 18. desember 2017 Knut Arild Vold

Med rundt 5 måneder igjen til EUs personvernforordning, GDPR, trer i kraft, begynner det å haste med å kartlegge hvilke personopplysninger virksomheten har lagret, og hvor de er lagret.

I Infotjenesters nylig avholdte webinar om kartlegging av personopplysninger med advokat Eva Jarbekk, sa Jarbekk at mange virksomheter nå er nødt til å prioritere oppgavene for å bli ferdig med det viktigste i tide.

- Se på hvor du har flest mennesker inne og hvor du har de mest sensitive og verdifulle opplysningene lagret. Begynn der du har flest personer og mest sensitiv informasjon, er rådet fra Jarbekk.

GRATIS WEBINAR 25. JANUAR: Slik kan HRM-systemet hjelpe deg med GDPR-arbeidet

Sensitive personopplysninger

Infotjenesters juridiske rådgiver Hans Gjermund Gauslaa er en av dem som hjelper kunder med spørsmål om personvern i arbeidsforhold. Han sier det er viktig å få oversikt over hvordan  de mest sensitive personopplysningene behandles.

- Behandlingsgrunnlaget er litt strengere hvis det er snakk om sensitive personopplysninger, og et brudd på personvernreglene vil også vurderes som grovere dersom sensitive personopplysninger kommer på avveie, sier Gauslaa.

Tenk på hvordan det behandles

Når du planlegger frem mot det nye personvernregelverket, er det derfor fornuftig å vie litt ekstra oppmerksomhet til de opplysningene som er definert som sensitive.

- Det er ekstra viktig å se på hvordan de sensitive personopplysningene behandles. Hvem har tilgang til opplysningene, hvordan oppbevares de og hvordan gjøres de eventuelt tilgjengelig for andre? Det er for eksempel ikke lov til å sende sensitive personopplysninger på e-post som ikke er kryptert, minner Gauslaa om.

Fødselsnummer ikke sensitivt

Da Infotjenester nylig testet våre lesere i en uhøytidelig personvern-quiz, fikk deltakerne spørsmål om hvilke av følgende personopplysninger som ikke er sensitive: Helseopplysninger, fødselsnummer, fagforeningsmedlemskap eller fingeravtrykk.

- Av disse er det fødselsnummer som ikke regnes som en sensitiv personopplysning etter det nye regelverket. De fleste har antatt at det er fagforeningsmedlemskap som ikke er en sensitiv personopplysning, sier Gauslaa.

Han understreker at selv om personnummeret etter regelverket ikke er definert som en sensitiv personopplysning, så er personnummer også en opplysning du som arbeidsgiver bør være varsom med. Det er heller ikke anledning til å sende personnummeret i en ukryptert e-post, for eksempel i lønnsslippen.  

Dette er sensitive personopplysninger etter EUs forordning om personvern:

  • rasemessig eller etnisk opprinnelse
  • politisk oppfatning
  • religion
  • overbevisning eller fagforeningsmedlemskap
  • behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en person
  • helseopplysninger
  • opplysninger om en persons seksuelle forhold eller seksuelle orientering.

Faghjelp - Personvern i arbeidsforhold

Visste du at Infotjenester tilbyr et digitalt oppslagsverk om personvern i arbeidsforhold, hvor du også kan få faglig support fra våre jurister? Les mer