Informasjon om GDPR
Personopplysninger knyttet til foretakets kommunikasjon
Behandling av personopplysninger i forbindelse med selskapets kommunikasjon med registrerte er ofte nødvendig og svært vanlig. Dette gjelder både intern kommunikasjon i enheten (for eksempel til ansatte) og ekstern kommunikasjon utenfor enheten (for eksempel til kunder, leverandører eller andre forretningspartnere).
Behandlingen av personopplysninger i forbindelse med selskapets kommunikasjon med registrerte skal utføres i samsvar med gjeldende regler
Reglene for behandling av personopplysninger i forbindelse med selskapets kommunikasjon med registrerte varierer, avhengig av type selskap og innholdet i kommunikasjonen.
For eksempel er det annerledes hvis flere leger kommuniserer med hverandre om spørsmål om sine pasienter via e-post, eller hvis et oppstartsselskap som bygger nettsteder, sender markedsføringsmeldinger til potensielle kunder. Jo viktigere personopplysningene er, desto større er kravene til et sikkert kommunikasjonsmiddel.
Selskapets kommunikasjon med registrerte via e-post
E-post er en vanlig kommunikasjonskanal for bedrifter å bruke. Både for intern og ekstern kommunikasjon. For eksempel av ansatte som bruker e-post for intern kommunikasjon med andre ansatte, eller av selskapet som har en e-postadresse publisert på sin offisielle nettside som kunder kan bruke til å sende spørsmål til kundeservice.
Hvilket rettslig grunnlag bør brukes når du sender e-post til markedsføringsformål?
Behandlingen av personopplysninger i forbindelse med selskapets kommunikasjon med registrerte må baseres på et rettslig grunnlag i henhold til artikkel 6 i GDPR. Det er vanlig for bedrifter å bruke enten samtykke eller legitim interesse som juridisk grunnlag når de sender e-post til markedsføringsformål. Vær oppmerksom på at selskapet må slutte å sende en e-post hvis den registrerte ber om det, i samsvar med deres rettigheter under GDPR.
Hvilke grunner ligger til grunn for GDPR når det gjelder direkte markedsføring?
47 i GDPR sier uttrykkelig at behandling av personopplysninger med henblikk på direkte markedsføring kan anses som en legitim interesse. På den annen side kan det være viktig å vite at andre nasjonale markedsføringslover kan regulere samtykkekrav for direkte markedsføring via e-post til potensielle nye kunder.
70 i GDPR sier at den registrerte skal ha rett til å protestere gratis mot behandlingen når som helst når hans eller hennes personopplysninger brukes til direkte markedsføringsformål. I tillegg bør denne retten uttrykkelig meddeles den registrerte og presenteres tydelig og atskilt fra annen informasjon.
Er det tillatt å sende lønnsslipper via e-post?
Det korte svaret på dette spørsmålet er: Dette avhenger av. Hvis lønnsslippen inneholder sensitive personopplysninger, skal arbeidsgiveren ikke sende den til arbeidstakeren via ukryptert e-post. Sykefravær er et eksempel på sensitive personopplysninger i henhold til artikkel 9 i GDPR, siden det utgjør data om helse. Det er også personopplysninger som bedrifter vanligvis må behandle for å kunne betale lønnene sine riktig, og derfor vises slik informasjon vanligvis på lønnsslippen. Vær oppmerksom på at det er mulig å sende en lønnsslipp via krypterte e-postmeldinger som utgjør en sikker e-postkommunikasjon, bare hvis den anses å være tilstrekkelig sikker.
Behandling av personopplysninger av Human Resources (HR)
Enhver behandling av personopplysninger krever støtte fra et rettslig grunnlag
Det er viktig å huske på at enhver behandling av personopplysninger krever et juridisk grunnlag for å støtte det for å være lovlig i henhold til GDPR. Innenfor HR-avdelingen, også kjent som HR-avdelingen, utføres mange behandling av personopplysninger. Formålet med en HR-avdeling er blant annet å støtte aktiviteter på operasjonelle, administrative og strategiske spørsmål knyttet til ansatte i operasjoner.
HR-avdelingen behandler personopplysninger i forbindelse med rekruttering av medarbeidere, etter rekruttering, i kompetanseutvikling og etter at ansettelsen er avsluttet.
Hvor lenge skal jobbsøkerens eller den ansattes personopplysninger oppbevares av selskapet?
Det kan være situasjoner der selskapet trenger å beholde personopplysningene lenger. For eksempel, hvis selskapet fortsetter å lagre den ansattes personopplysninger etter at ansettelsen er avsluttet for å være en fremtidig referanse, eller i den grad fortsatt lagring er påkrevd av gjeldende lov. Det er mange nasjonale arbeidslover som regulerer bestemte oppbevaringsperioder, og i slike tilfeller utføres behandlingen på grunnlag av en rettslig forpliktelse som rettslig grunnlag.
Personlige data av subjektiv karakter kan vanligvis oppfattes som mer subjektive personvernsensitive data
Det er en forskjell mellom personopplysninger som er subjektive eller objektive av natur. Personopplysninger av subjektiv karakter er for eksempel en medisinsk diagnose, en lærers vurdering eller vurderinger basert på medarbeidersamtaler i et selskap som er dokumentert. Det er viktig å huske på at personopplysninger av subjektiv karakter kan oppfattes av den registrerte som mer subjektivt følsomme for personvern. Derfor må de behandles av selskapet med større sikkerhet.
Behandlinger som utføres
Før ansettelse
Arbeidsgiver behandler arbeidssøkerens personopplysninger før ansettelse, når arbeidssøkere kontakter bedriften for å søke jobb. For eksempel ved å svare på en stillingsannonse eller sende en spontan jobbsøknad til selskapet via e-post.
Under ansettelsen
Det er et bredt spekter av personopplysninger om de ansatte som behandles av arbeidsgiveren mens ansettelsen pågår. Vær oppmerksom på at noen av dem er sensitive eller subjektivt personvernsensitive personopplysninger. For eksempel informasjon om ansattes sykefravær, rehabiliteringsplaner, vurdering og dokumentasjon av arbeidsutførelse mv.
Kapasitetsbygging
Det er ikke uvanlig for arbeidsgivere å beholde visse data og dokumenterte medarbeidersamtaler for kompetanseutvikling. Slike opplysninger kan oppfattes som personvernsensitive. Det er derfor viktig å behandle dem med større sikkerhet og å ta ekstra forsiktighet for å slette dem når de ikke lenger er nødvendige.
Behandling av personopplysninger i forbindelse med bedriftskommunikasjon med registrerte gjennom sosiale medier
Sosiale medier er en viktig del av markedsføringsarbeidet for mange bedrifter. I tillegg er behandling av personopplysninger i forbindelse med selskapets kommunikasjon med registrerte via sosiale medier vanlig. Derfor er det nyttig å kjenne reglene ved behandling av personopplysninger via sosiale medier.
Dessverre mener mange selskaper som behandler personopplysninger via sosiale medier at de ikke har noe ansvar for behandlingen, da de mener at bare plattformleverandører har ansvar. Dette er ikke sant. Selskapet har også ansvar for sin behandling av personopplysningene, selv om behandlingen skjer innenfor en sosial medieplattform levert av en tredjepartsleverandør.
Er selskapet ansvarlig for sletting av personopplysninger i sin sosiale mediekonto?
Ja, selskapet er ansvarlig for enhver behandling av personopplysninger som utføres av selskapet via sosiale medier. Det inkluderer sletting av personopplysninger når de ikke lenger er nødvendige. Disse spenner fra bilder eller videoer av personer som er publisert av selskapet på sosiale medier, til kommentarer til selskapets innlegg og chatter i selskapets innboks for sosiale medier. Selskapet må blant annet sørge for at gamle samtaler med registrerte via sosiale medier slettes når de ikke lenger er nødvendige for at selskapet skal kunne behandle.
Regler som gjelder for selskaper som profilerer kunder gjennom sosiale medier
Det er viktig å huske på at selskaper bør vite hvordan plattformleverandører handler og håndterer personopplysninger før de begynner å bruke sine sosiale medieplattformer. Dette skyldes at selskapet og den aktuelle plattformleverandøren i noen tilfeller kan ha såkalt felles kontroll. Dette ble bekreftet i en dom fra EU-domstolen mot Facebook. Reglene om felles kontroll er nærmere beskrevet i blant annet artikkel 26 i GDPR og betraktning 79 i GDPR.
Behandling av personopplysninger i forbindelse med selskapets kommunikasjon med registrerte via selskapets nettsted
Det er mange selskaper som behandler personopplysninger gjennom sine nettsteder. For eksempel gjennom informasjonskapsler, når de mottar forespørsler via kontaktskjemaer på nettstedet, hvis de har et påloggingssystem eller lignende. Utgangspunktet er at jo viktigere personopplysningene er, jo høyere er sikkerhetskravene. For eksempel er det en forskjell i om et selskap bruker informasjonskapsler for å analysere hvordan nettstedet brukes. Alternativt selger kjøperen noe ved å taste inn kredittkortnummeret sitt, som lagres på selskapets webservere.
En vanlig feil av selskaper på deres hjemmeside
Mange bedrifter har et kontaktskjema på deres hjemmeside som besøkende kan bruke til å kontakte selskapet. For eksempel for å stille spørsmål, be om et tilbud eller lignende. Det er vanlig for besøkende å måtte fylle ut navn, e-postadresse og muligens flere kontaktdetaljer i skjemaet. I tillegg er mange ganger de fleste feltene i skjemaet obligatoriske for at meldingen skal sendes.
De registrerte skal informeres
Når meldingen sendes til selskapet via skjemaet, behandles personopplysningene av selskapet. Derfor må selskapet informere om behandlingen. En vanlig feil av selskaper er ikke å informere om behandlingen i samsvar med artikkel 13 GDPR. Informasjonen skal gis i forbindelse med innsamlingen, før personopplysningene sendes til selskapet, av selskapet som presenterer sin personvernerklæring til den besøkende.
Informasjonskapsler
Mange nettsteder bruker og lagrer informasjonskapsler på den besøkendes enhet, som kan utgjøre personopplysninger og derfor faller innenfor rammen av GDPR. Behandling av ikke-essensielle informasjonskapsler, for eksempel for markedsføringsformål, krever aktivt samtykke. I tillegg må virksomheten oppfylle opplysningskravet. Selskapet må blant annet presentere en informasjonskapselmelding på nettstedet sitt, inkludert informasjon om hva informasjonskapsler er for, hvordan de brukes av nettstedet, etc.
Finn ut mer om behandlinger online
Behandling av personopplysninger av selskaper som tilbyr elektroniske tjenester
Bedrifter som er underlagt GDPR og opererer online-tjenester, behandler nesten alltid personopplysninger. Eksempler på slike tjenester er sosiale medier, søkemotorer og e-handelsplattformer. I slike tilfeller er det viktig å tilpasse den elektroniske tjenesten til GDPR. For eksempel, ved å sette opp innstillinger for å tillate brukere å trekke tilbake sitt samtykke. I tillegg er det ikke uvanlig for online tjenesteleverandører å behandle personopplysninger om barn. I dette tilfellet er reglene enda strengere under GDPR.