Hvordan bør opplysninger om ansatte behandles?
DÅRLIG TID: Det haster med å kartlegge personopplysninger i forkant av GDPR, sier Infotjenesters juridiske rådgiver Hans Gjermund Gauslaa (t.v.) og teknologidirektør Flemming Ottosen.

Hvordan bør opplysninger om ansatte behandles?

De som behandler personopplysninger, enten de er ledere eller arbeider i en HR-avdeling, må sette seg inn i de nye reglene for GDPR og være bevisst på hvordan de håndterer sine data.

     

- Mange av kundene vi hjelper gjennom vår fagsupport har ikke begynt å jobbe med disse tingene ennå, og da begynner det å haste. De bør finne ut hva som er viktigst for egen virksomhet og starte en kartlegging slik at de får et bilde av hvordan de håndterer opplysningene de har om sine ansatte, sier Hans Gjermund Gauslaa som er juridisk rådgiver i Infotjenester.

GRATIS WEBINAR: Slik kan et godt HRM-system hjelpe deg med GDPR-arbeidet

Grundig kartlegging

Selve kartleggingen innebærer å skaffe seg en oversikt over hvilke persondata virksomheten har, hvorfor man har dataene, hvor de er lagret og hvor lenge de skal beholdes. Persondata ligger gjerne i svært mange ulike systemer, som HR Management-systemer, lønnssystemer osv.

- I en slik kartlegging inngår det også å se på hvem som har tilgang til dataene. Mange IT-systemer har innebygd sikkerhet som skal sørge for at bare de som trenger informasjonen får tilgang, men ofte gir man tilgang på øverste nivå for å forenkle interne arbeidsprosesser. Da er det fort gjort at flere enn de som trenger det får tilgang til info de ikke skulle hatt, forklarer Infotjenesters teknologidirektør, Flemming Ottosen.

- Rutiner for sletting er også en del av kartleggingen, tilføyer Gauslaa.

- En kartlegging bør også inneholde en risikovurdering av IT-leverandørene og kvalitetssikre at avtalene med disse leverandørene er i tråd med regelverket for personvern. Som leverandør av HRM-systemet Simployer, er vi svært opptatt av at vårt system alltid er i samsvar med gjeldende regelverket, forsikrer Ottosen.

Forsterket innsynsrett

Arbeidstakere har lenge hatt rett til å vite hvilke opplysninger som virksomheten har om dem, men med innføringen av GDPR styrkes denne retten. I tillegg vil nok bevisstheten rundt dette bli større:

- Jeg ser ikke bort fra at vi kommer til å se tilfeller der ansatte vil forfølge regelverket med hensyn til innsynsrett. Da er det ekstra viktig at arbeidsgiverne har gode interne rutiner, men også rutiner som sikrer at ikke data kommer på avveie hvis de for eksempel bruker datautviklere i andre land. Det er med andre ord mange ting å gripe tak i, sier Ottosen til slutt.

Faghjelp - Personvern i arbeidsforhold

Visste du at Simployer Infotjenester tilbyr et digitalt oppslagsverk om personvern i arbeidsforhold, hvor du også kan få faglig support fra våre jurister? Les mer