GDPR – hva betyr det for din bedrift?

Ikke hørt om GDPR? Da er det på tide, for den nye personopplysningsloven, som er basert på EUs General Data Protection Regulation, trer i kraft 25. mai i år.

Hensikten med den nye personopplysningsloven er å beskytte privatpersoner; den skal verne mot at personopplysninger misbrukes eller kommer på avveie. De fleste bedrifter sitter nødvendigvis på en del personopplysninger, f.eks. om egne ansatte og kunder, så bedriftene bør kjenne til reglene. Hvis ikke kan det koste dyrt.

Kontroll og sanksjoner

– Det er ikke meningen at denne loven skal komme inn og snu alt på hodet. Det handler bare om å få en bevissthet rundt at man må ha et lovlig hjemmelsgrunnlag for å behandle personopplysninger, sa advokat Erik T. Handeland i Maskinentreprenørenes Forbund (MEF) på MEFs årlige Arbeidsgiverdag, som gikk av stabelen i slutten av mars.

Annonse

– Den nye loven erstatter den eksisterende personopplysningsloven. EUs formål er å gi borgerne bedre kontroll over egne personopplysninger i en samtid hvor det er mye personopplysninger på avveie, og det å misbruke menneskers personopplysninger er «big business». Det kan være greit for dere å vite hva man skal tenke over når man behandler personopplysninger i bedriften. Datatilsynet har også varslet økt kontroll med norske bedrifter og strengere sanksjoner, sa han til forsamlingen av MEF-bedrifter.

Hva er personopplysninger?

En personopplysning er en opplysning eller informasjon som kan knyttes til eller brukes til å identifisere en enkeltperson. Det kan f.eks. være navn, adresse, telefonnummer, e-postadresse, fødsels- og personnummer, kontoinformasjon, IP-adresse, bilnummer eller GPS-lokasjon.

– Arbeidsgiver trenger et lovlig behandlingsgrunnlag for å kunne sitte med og behandle slike personopplysninger. Mye sier seg selv, og er ikke så strengt som det høres ut, sa Handeland.

– Det kan være hvis lov eller forskrift krever at du skal sitte med slike opplysninger, som f.eks. skattekort. Det kan også hende den registrerte har avgitt samtykke til at bedriften kan behandle opplysningene. Dette er imidlertid en svak hjemmel, for en arbeidstaker kan føle seg presset av en arbeidsgiver til å gi samtykke. Videre er det også en interesseavveiing av behov kontra inngrep; man kan ha hjemmel og behandlingsgrunnlag til å sitte på personopplysninger dersom bedriftens behov for å sitte på opplysningene er betydelig større enn inngrepet hos den registrerte. Det er altså en skjønnsmessig vurdering, forklarte advokaten.

SOM TENTE LYS: Forsamlingen av MEF-bedrifter fulgte oppmerksomt med, for det kan være lurt å kjenne til de nye reglene. (Foto: Runar F. Daler).

SOM TENTE LYS: Forsamlingen av MEF-bedrifter fulgte oppmerksomt med, for det kan være lurt å kjenne til de nye reglene. (Foto: Runar F. Daler).

Formål

– Foruten behandlingsgrunnlaget skal man også ha et klart definert formål med å innhente de ulike personopplysningene, og dette skal kommuniseres på en enkel og lettfattelig måte til den registrerte, med mindre dette er helt åpenbart. Datatilsynet er veldig klare på at ansatte skal få informasjon om de personopplysningene bedriften sitter på om dem, og de skal også han innsynsrett i dem og rett til å slette dem, hvis de ønsker det, fortsatte Handeland.

– I tillegg skal personopplysninger kun benyttes til det formål opplysningene er innhentet til. Det er ikke lov å bruke personopplysningene til et annet formål. Dette er noe av essensen i denne nye personopplysningsloven.

GPS-overvåking

MEFs advokat viste videre til følgende realistiske eksempel, for å illustrere hva slags utfordringer bedrifter kan stå overfor: I forbindelse med elektronisk kjørebokløsning har en bedrift installert GPS-sporing i alle bedriftens firmabiler. Er det greit?

– GPS-sporing kan brukes til å lokalisere en enkelt ansatt, så dette er utvilsomt en personopplysning. Formålet er imidlertid at dette skal brukes til å rapportere til skattemyndighetene for å unngå skattlegging ved bruk av bilene i jobbsammenheng. Man har altså hjemmel til å sitte på denne typen informasjon fordi man skal oppfylle en rettslig forpliktelse, begynte Handeland.

Men så får bedriften mistanke om at en av de ansatte fører mer overtid enn han eller hun har krav på. Bedriften sjekker GPS-loggen, som viser at firmabilen har stått parkert hjemme hos den ansatte i den perioden det er ført overtid. Spørsmålet er da om bedriften kan benytte GPS-loggen i en personalsak mot den ansatte?

– Denne typen spørsmål får vi en del av. Når det gjelder behandlingsgrunnlaget, så har man som sagt lov til å sitte med dette, fordi det skal rapporteres til myndighetene. Men det definerte formålet for denne personopplysningen er jo nettopp å rapportere det til skattemyndighetene. Hvis man trekker dette inn i en arbeidstvist, så brukes opplysningene til et helt annet formål. Og det sier personopplysningsloven at man ikke har mulighet til, slo Handeland fast.

– Bruk gamlemåten

– Løsningen blir å iverksette kontrolltiltak hvis man har saklig grunn til det. Men vær da obs på at det krever at man informerer den ansatte, og at overvåkningen starter etter at den ansatte er informert. Man kan ikke gå tilbake og bruke gammel logg. Legges det frem i retten eller i arbeidstvistutvalget i en arbeidstvist, vil man få en bot av Datatilsynet. Og med de nye sanksjonene, er det nok ikke det å anbefale. Bøtene kan komme opp i flere prosent av bedriftens årsomsetning, sa Handeland.

– Hva hvis bedriften har definert overvåking av de ansatte som et formål og innhentet samtykke fra de ansatte til å GPS-spore dem? Dette er også spørsmål vi får litt av. Vi husker at samtykke er et svakt behandlingsgrunnlag. Høyesterett har uttalt at de kan åpne for dette i en personopplysningssak, men det er jo fullstendig ulovlig etter arbeidsmiljøloven. Jeg anbefaler at kjøreloggen brukes til det den er ment å brukes til. Hvis dere tar ansatte i å jukse med overtid, så benytt heller gamlemåten; kjør til byggeplassen. Er de ikke der så ring dem og hør hvor de er. Da har de kanskje et forklaringsproblem.

Hva nå?

Hva bør bedriftene gjøre nå som den nye loven trer i kraft?

– Det første dere bør gjøre er å få oversikt over hvilke personopplysninger dere sitter på, og hvor de befinner seg. Finn fram gamle arkivskap, let gjennom fellesserveren på bedriftsnettet og bla gjennom gamle permer, sa Handeland.

– Deretter må det kartlegges; hvem har tilgang til opplysningene? Hvem er sjefen over dem? Hva er hjemmelsgrunnlaget? Og hva er formålet med de opplysningene dere sitter på? Hvis dere ikke klarer å definere et hjemmelsgrunnlag eller et formål, ja da må dere slette dem – da må det makuleres. I de fleste tilfeller har dere nok behandlingsgrunnlag og formål for det dere sitter på. Man samler jo ikke personopplysninger for moro skyld. Men er de ikke aktuelle lenger, så skal de slettes. Vi fant for eksempel ut i MEF at vi satt på en bunke gamle ansettelsesdokumenter og jobbsøknader. Da vi ikke var i noen ansettelsesfase så hadde vi ikke noe formål og dermed ingen hjemmel til å sitte på dem. Så vi slettet alle sammen.