logoNegotia magasin

Fagaktuelt
Fagaktuelt

GDPR for tillitsvalgte

En gjennomgang av de nye personvernreglene

I 2018 har mange arbeidstakere og arbeidsgivere hatt gleden av å stifte bekjentskap med de fire bokstavene GDPR. Disse står for General Data Protection Regulation, og er et nytt personvernregelverk utarbeidet av EU. Ansatte rundt om på landets arbeidsplasser har brukt utallige timer på utvalgsarbeid og diskusjoner om hvordan man skal etterleve de nye reglene i praksis.

Kristoffer Lien Heitmann

Advokat i Negotia

Hensikten bak regelverket er, som navnet tilsier, å beskytte data i en verden som blir stadig mer digital. Digitalisering fører med seg både muligheter og utfordringer. Informasjon kan spres lynraskt og til mange mottakere. Dersom informasjon kommer på avveie og havner på internett, er det praktisk talt umulig å få kontroll på den igjen.

Ny teknologi lar oss lagre mer informasjon enn tidligere, systematisere den og dra nytte av den. Data fungerer som drivstoff ved utvikling av kunstig intelligens, og «Big Data» er et blitt et innarbeidet begrep blant dem som har som jobb å analysere ulike markeder og fenomener. Data er dermed blitt en vare som kan kjøpes og selges. EU-forordningens andre mål er av denne grunn å harmonisere reglene innenfor det europeiske markedet, slik at selskaper lettere kan kjøpe og selge data over landegrensene.

Inn i norsk lov

At GDPR-reglene er gjennomført som «forordning» betyr at de får direkte virkning i alle EUs medlemsstater. Norge er ikke medlem av EU, men har gjennom EØS-avtalen forpliktet seg til å harmonisere egne rettsregler med EU sine på de aller fleste områder. Norge har derfor inkorporert EUs forordning. Det betyr at forordningen er tatt inn i den norske lovboken og får virkning som norsk lov. I Norge fikk de nye reglene anvendelse fra 20. juli 2018.

I Norge fulgte mange av pliktene etter GDPR allerede av den gamle personopplysningsloven. Årsaken til at pliktene har fått fornyet oppmerksomhet også her er at manglende etterlevelse av GDPR kan medføre svært store bøter for virksomheter.

For å få oversikten over alle plikter personvernreglene medfører må man lese teksten i EU-forordningen, den nye norske personopplysningsloven og spesialregler i andre lover som får anvendelse på den konkrete aktiviteten man bedriver.

I denne artikkelen gir vi deg en enkel innføring. Reglene kan fremstå som kompliserte ved første øyekast, men i realiteten er de ikke det.

Dersom man som behandler av personopplysninger kan dokumentere at man har et bevisst forhold til hvilke personopplysninger man benytter seg av, og hvordan man lagrer dem, er man langt på vei. Les videre for å se hvordan dere gjør dette.

Sentrale begreper

Personopplysninger

GDPR får anvendelse i et hvert tilfelle der personopplysninger behandles. En personopplysning er definert som en opplysning eller vurdering som kan knyttes til en enkeltperson. Eksempler på personopplysninger er navn, adresse, telefonnummer og fødselsnummer. Visse typer personopplysninger anses å være spesielt private, og kalles sensitive personopplysninger. Eksempler på sensitive personopplysninger er helseopplysninger og fagforeningsmedlemskap.

Behandling av personopplysninger

Behandling av personopplysninger finner sted hver gang noen samler inn, registrerer, organiserer, lagrer, bruker, utleverer og sletter personopplysninger. Personvernreglene får med andre ord anvendelse stort sett hele tiden når personopplysninger er inne i bildet.

Behandlingsansvarlig

Den som står som ansvarlig for at behandlingen av personopplysningene er forsvarlig kalles behandlingsansvarlig. Den som innehar denne rollen er den som bestemmer formålet med behandlingen av personopplysningene samt hvilke hjelpemidler som skal benyttes.

I en arbeidstakerorganisasjon som Negotia behandles personopplysninger til enhver tid på mange ulike nivåer i virksomheten. Personopplysninger gis fra medlemmer til tillitsvalgte, fra medlemmer til rådgivere i organisasjonens administrasjon, fra tillitsvalgte til rådgivere i administrasjonen osv.

Den som sitter med det overordnete ansvaret for hvordan personopplysninger skal behandles i og av Negotia, er organisasjonens generalsekretær. Generalsekretær plikter dermed å se til at det blir utarbeidet rutiner for behandling av personopplysninger i Negotia-sammenheng, og at administrasjonen arbeider for å gjøre disse kjent i organisasjonen. Slike rutiner og retningslinjer er lagt ut på www.negotia.no og på den enkelte brukers Min side-portal.

Behandlingsgrunnlag

For å lovlig kunne behandle personopplysninger trengs det et behandlingsgrunnlag. Behandlingsgrunnlaget kan være:

  1. lov eller forskrift

  2. at behandlingen er nødvendig for å oppfylle avtale med den registrerte, eller at behandlingen ivaretar en berettiget interesse

  3. at den registrerte har gitt et frivillig, informert, uttrykkelig og utvetydig samtykke

Negotia kan behandle egne medlemmers personopplysninger både fordi det er nødvendig for å oppfylle avtalen med medlemmet – at de i bytte mot medlemskontingent skal motta bistand og rådgivning – og fordi medlemmet etter våre nye rutiner gir oss samtykke til dette ved innmelding.

Sentrale plikter etter GDPR

Regelverket har som formål å sikre at behandlingen av personopplysninger foregår på en lovlig, rettferdig og gjennomsiktig måte. Videre er hensikten å begrense bruken av personopplysninger til det som er nødvendig for å oppnå et konkret formål den behandlingsansvarlige har fastsatt.

Dette medfører at den behandlingsansvarlige pålegges å sikre at det foreligger et behandlingsgrunnlag, og at det ikke behandles flere personopplysninger enn nødvendig for å oppnå formålet.

De opplysningene som lagres må være korrekte og oppdaterte, og oppbevares på en sikker måte. Sikkerhet kan ivaretas gjennom å oppbevare opplysningene i en perm som for eksempel låses inn i et skap, eller gjennom bruk av digitale plattformer som gir mulighet til å kryptere eller passordbeskytte mapper og dokumenter.

Den registrerte – det vil si personen som får sine personopplysninger behandlet - har etter de gjeldende personvernreglene krav på innsyn i samt sletting av sine personopplysninger på forespørsel.

For å kunne ivareta disse rettighetene må den behandlingsansvarlige ha en viss oversikt over hvilke opplysninger som er lagret, og hvor disse er lagret. Ved å systematisk arbeide med ryddig og trygg behandlings av personopplysninger i virksomheten blir det enklere å imøtekomme en begjæring om innsyn eller sletting.

Viktig å huske på

  1. Dokumenter vurderinger du har gjort av behandlingsgrunnlaget og formålet for behandlingen av personopplysningene

    Dette trenger ikke å være mer enn et kort notat i Word eller et håndskrevet ark. Rutinebeskrivelser for typer behandling av personopplysninger en tillitsvalgt ofte vil bedrive i Negotia-sammenheng, vil bli gjort tilgjengelig på negoti.no under Min Side. Dersom uhell skulle skje vil disse dokumentene kunne vise at man har forsøkt å etterleve regelverket.

  2. Innarbeid personvernhensyn i de daglige rutinene

    I mange tilfeller er små justeringer tilstrekkelig til at man får kontroll på hvilken informasjon man samler inn, hvordan den brukes og hvor lenge den skal lagres.

  3. Ikke lagre mer enn nødvendig

    Risikoen for at informasjon skal komme på avveie øker i takt med mengden informasjon man besitter. Gjør derfor en kritisk vurdering av hva slags informasjon dere trenger å lagre i «Tillitsvalgtpermen» lokalt, og hva som kan makuleres etter at en sak er avsluttet.

  4. Meld fra om avvik

    Dersom personopplysninger er kommet på avveie er det viktig at dette meldes fra om til Negotia-administrasjonen så fort som mulig. Generalsekretær vil etter å ha mottatt varsel rapportere videre til Datatilsynet.

Mer informasjon eller spørsmål?

Mer om retningslinjer og rutiner og hvordan Negotia behandler personopplysninger, finner du på negotia.no. Dersom du har spørsmål kan du ta kontakt med Negotias personvernombud på e-postadressen personvern@negotia.no

Kristoffer Lien Heitmann