Lagrer du de ansattes data lovlig?

Både jobbsøknader og intranettposter omfattes av GDPR

Informasjon om de ansatte i henhold til GDPR

EUs nye personvernlov (GDPR) omfatter også informasjon knyttet til ansatte – og gjelder alle virksomheter.

Her får du 5 spørsmål alle selskaper må svare ja på om din bedrift skal overholde GDPR.

 

 

GDPR: Uansett om man har bare én ansatt eller om man har en stor personalavdeling, skal du oppbevare dine medarbeiderdata i henhold til de nye personvernreglene som trer i kraft allerede den 25. mai i år.

 

Få hjelp med EGs GDPR-assistent.

 

All informasjon er følsom – også data om familiemedlemmer og venner

En mindre familiebedrift med familie og venner som ansatte, vil ofte ikke anse disse medarbeidernes data som følsomme, men det er de i forhold til GDPR. Det gjelder også selv om en medarbeider har registrert data, og vil ha alle data slettet fra bedriften man tidligere jobbet i.

 

 

GDPR - General data protection regulation

* EUs nye personvernforordning, som gjelder fra 25. mai 2018 og gjelder alle EU- og EØS-land. 

* Viderefører gammel forordning fra 1995, men med en rekke innstramminger knyttet til økte dokumentasjonskrav, innebygget personvern (data protection by design and by default), dataportabilitet, sletting samt varsling ved sikkerhetsbrudd.

* Målet er å sikre borgeres, sluttkunders og brukernes data, blant annet for å forebygge cyberkriminalitet og for å regulere virksomhetenes kommersielle utnyttelse av persondata.

* Overtredelse kan gi gebyrer på opptil 20 millioner euro eller 4 prosent av global omsetning, avhengig av hva som er høyest.

* Vedtatt i EU-parlamentet 14. april 2016.

 

Bedrifter som har intranett må være ekstra aktsomme

Har selskapet ditt et intranett, bør du også holde øye med hva som blir oppbevart og delt der. Kan informasjon tilbakeføres til et individ, omfattes de som regel av GDPR. Mange selskaper tar for lett på EUs personvernregler på grunn av dette.

 

Les om de 5 vanligste bruddene på GDPR.

 

Kunnskapsdeling kolliderer med GDPR

Mange bedrifter har et intranett. Siden et intranett er kjennetegnet av en desentral struktur, hvor alle kan legge inn informasjon og persondata. Det krever at hver enkelt medarbeider må hele tiden ha GDPR i baktankene.

For å sikre at informasjon og datatilgang håndteres korrekt bør man få på plass regler og prosedyrer som sikrer at GDPR overholdes.

Jesper Dudal Madsen er utviklingsdirektør i selskapet intras og  har mange års erfaring med utvikling av intranettløsninger.

– Som selskap ønsker vi å fremme kunnskapsdeling og gjøre våre data så tilgjengelige som mulig. Derfor har vi et intranett. Samtidig må vi være sikre på at tilgangen til persondata er begrenset. Det gjelder både for kunder, partnere og ansatte, sier Madsen.

 

La EG hjelpe deg til å innfri ditt digitale potensial.

 

Jobbsøknader skal slettes innen seks måneder

Madsen mener at GDPR vil utfordre mange selskaper i forhold til hvordan man håndterer informasjon rundt de ansatte. Bruker man ikke et HR- eller Personaladministrasjonssystem må man være særlig aktsom, mener Madsen og trekker frem jobbsøknader:

– Man må huske på å ha kontroll på hvem som har tilgang til jobbsøknadene og at de må slettes i løpet av seks måneder. Derfor er det behov for prosedyrer for sletting også fra epostboksen hvor søknadene er sendt, sier intras-direktøren.  

 

Intranett er jo ideelt som debattforum. Derfor bør en GDPR være obligatorisk på ethvert intranett fremover Jesper Dudal Madsen, intras

 

– Nå er vi i ferd med å tilføre en funksjon til vår egen intranettløsning, som gjør det mulig for administratoren å søke opp en tidligere ansatts data for å slette eller anonymisere alle oppslag og data på vedkommende, sier Madsen.

 

Det haster å bli klar for GDPR. 

 

Avgrens mengde og tilgang

Som arbeidsgiver må du naturligvis samle inn personopplysninger som er nødvendige, for eksempel kontonummer, men man har plikt til å begrense tilgangen til data slik at bare de som informasjonen er relevant for, har tilgang til dataene. Man skal også kjenne til om man kan lagre de ulike personopplysningene om ens medarbeidere.

 

GDPR-ekspert gir en god oversikt over EUs nye personvernlov.

 


GDPR på agendaen

Intranettet kan også være en måte å få GDPR på agendaen og bidra til at de ansatte har kjennskap til og er bevist på EUs nye personvernregler.

– Intranett er jo ideelt som debattforum. Derfor bør en GDPR være obligatorisk på ethvert intranett fremover, sier Madsen.

 

Kartlegg din interne databehandling

Mye av innholdet du har liggende på intranettet er omfattet av GDPR. Derfor er det en god idé å gå gjennom de seneste oppdateringer, webstatistikk, konkurranser, kommentarer og så videre på intranettet og overveie om ditt selskaps prosedyrer skal strammes opp.

Kan du svare "ja" på spørsmålene under, er du på god vei til å drive i henhold til GDPR.

GDPR-sjekklisten

  • Har den ansatte gitt samtykke til at du behandler data?
  • Har du hentet inn tillatelse til at du behandler data?
  • Kan du slette informasjon hvis en ansatte slutter?
  • Lagrer du kun den informasjonen om de ansatte som er nødvendig?
  • Bruker du bare dataene til det bestemte formål de ble samlet inn?
  • Lagrer du data bare i perioden du har lov – og ikke lenger?

 

 

Les om fakta og frister for GDPR.

Les om de typiske misforståelser rundt  GDPR.