Hva må du som arbeidsgiver forberede?
I mai neste år kommer nye EU-regler om personvern, og Datatilsynet i Norge har fått temmelig kraftige virkemidler med svært store bøter dersom virksomheten ikke følger de ny retningslinjene.
Stor uvitenhet
Som arbeidsgiver behandler du mye informasjon om jobbsøkere, nåværende og tidligere ansatte og kanskje også om eksisterende og potensielle kunder: Personalia, informasjon om pårørende, sykefravær, advarsler, ferier, informasjon om lønn- og bonuser, arbeidsavtaler, informasjon fra adgangssystemer og videoovervåkning, osv.
Endringene vil berøre alle virksomheter som behandler personopplysninger, som i praksis vil si alle virksomheter med ansatte. Flere undersøkelser viser at kunnskapsnivået om databehandling er lavt. Datatilsynet viser til en undersøkelse bestilt av Atea, som avdekker stor uvitenhet om den nye loven, skriver Dagens Næringsliv.
Flere kommer på banen
Infotjenester er blant dem som arrangerer kurs i de nye personvernreglene, og opplever stor pågang fra virksomheter som trenger opplæring.
Advokat Eva Jarbekk, som holder kursene for Infotjenester, ser nå at flere kommer på banen.
– Mitt inntrykk er at mange store virksomheter har jobbet med dette lenge og er godt forberedt. Vi ser imidlertid at selskaper som egentlig ikke driver med personopplysninger nå også fatter interesse for regelendringene. Mange har frem til nå ikke tenkt på at de behandler personopplysninger, for eksempel gjennom adgangskontrollsystemer og HR-systemer. De undersøkelsene som viser til lavt kunnskapsnivå gjenspeiler nok mange av disse, sier Jarbekk.
Ikke god tid
Selv om regelendringene er mer enn et år unna, er det ikke godt tid. Den erfarne personvernadvokaten sier de fleste virksomheter vil trenge denne tiden, litt avhengig av hvor mye personopplysninger de behandler.
– Jeg sier ikke at en skal jobbe med dette sammenhengende i et år, men det er en del undersøkelser som må gjøres som tar litt tid. For eksempel må du begynne med å kartlegge hvilke opplysninger virksomheten har og i hvilke datasystemer de er lagret. Du må vite hvor og hvor lenge de oppbevares. Du må også vite i hvilke land servicepersonell kan få tilgang til disse opplysningene fra når de skal yte tjenester. Hvis leverandøren av et system for eksempel har satt ut servicefunksjonen til India, så kan dine data være i India, og det skal du vite.
Her er det åpnet for svært store bøter, så her skal man ikke trå feil. Når du har oversikt over dine data må du se på hvilket gap det er i henhold til det regelverket som kommer, og da går plutselig et år fort, sier Eva Jarbekk.
Viktig å være trygg på HR-systemet
Hvem haster det mest for?
– Det haster mest for dem som har sensitive personopplysninger, som i laveste terskel er helseopplysninger. Det betyr igjen at alle som har ansatte må sørge for å få behandlingen av ansattopplysningene sine på stell. Har man i tillegg sensitive personopplysninger om kunder, så haster det kanskje enda mer, sier Jarbekk.
Kilde: Infotjenester.