GDPR – virksomhet
Behandling av personopplysninger i virksomheten
Bedrifter behandler vanligvis personopplysninger i løpet av sin virksomhet. Personopplysningene kan tilhøre eksterne parter, for eksempel leverandører, kunder og samarbeidspartnere, samt interne parter, for eksempel selskapets ansatte.
Vanlig praksis ved behandling av personopplysninger i virksomheten
Selskaper som behandler personopplysninger i EU må overholde GDPR. Det gjelder med andre ord ikke bare selskaper basert i EU, men også selskaper basert utenfor EU som behandler personopplysninger om personer i EU.
Behandling av personopplysninger er ofte nødvendig for driften av virksomheten.
Eksempler på behandlinger i industrien
- Hjemmeadressen til kunder som bestiller varer fra en e-handelsvirksomhet, for å kunne levere kjøpte produkter hjemme.
- Navn, personnummer og bankkontonummer på ansatte for å kunne betale lønnen.
- CCTV i resepsjonen, som et ekstra sikkerhetstiltak.
Roller i GDPR
Det er forskjellige roller i GDPR som kan være nyttige å vite. For eksempel, hvem som er behandlingsansvarlig og databehandler, hvilke aktører som må utnevne en databeskyttelsesansvarlig, hvem som kan være registrerte, hva nasjonale databeskyttelsesmyndigheter gjør. En kort oppsummering av dette, blant annet, er gitt nedenfor.
Behandlingsansvarlig
Det er kontrolløren som bestemmer formålet med behandlingen, dens varighet og hvordan den vil fortsette. Et selskap, offentlig myndighet eller annen organisasjonsform kan være en kontrollør. Fysiske personer kan også være kontrollører i visse tilfeller.
Hvem er ansvarlig for behandlingen i henhold til GDPR?
Den behandlingsansvarlige er ansvarlig for at behandlingen utføres korrekt i samsvar med reglene fastsatt i GDPR. På den annen side har databehandlere også ansvar for sin behandling av personopplysningene, som utføres på vegne av den behandlingsansvarlige.
Kontrolløren er vanligvis organisasjonen selv, og ikke en bestemt person som eier eller ansatt. Men i noen tilfeller kan en person være en kontroller. For eksempel, om behandlingen utføres av en enkelt næringsdrivende eller en privatperson.
Noen vanlige spørsmål knyttet til behandlingsansvarlige
Er det mulig å overlate utførelsen av behandlingen av personopplysningene til noen andre?
Ja, selskaper kan overlate behandlingen av personopplysningene sine til noen andre i henhold til GDPR. Det er imidlertid ikke mulig å overføre ansvaret for personopplysningene og behandlingen. Det er bare selve behandlingen som kan delegeres til noen andre. For eksempel til en kontrahert prosessor.
Kan flere selskaper være felles kontrollører?
Ja, to eller flere selskaper kan ha felles kontroll. Vær oppmerksom på at det er viktig å regulere forholdet i en skriftlig kontrakt. For eksempel, hvem må oppfylle hvilke forpliktelser for ikke å bryte GDPR.
Hvordan skal ansatte behandle personopplysninger?
Ansatte skal ikke behandle personopplysninger i strid med instruksjonene gitt av den behandlingsansvarlige. Derfor er det viktig å etablere skriftlige og klare prosedyrer som skal følges av personalet ved behandling av personopplysninger i praksis.
Prosessor
Når en aktør behandler personopplysninger på vegne av en annen aktør, skjer behandlingen i rollen som databehandler. Med andre ord behandler databehandleren personopplysninger på vegne av og etter instruks fra den behandlingsansvarlige.
Eksempler på situasjoner der selskaper vanligvis fungerer som prosessorer
Lagring i nettskyen
Mange bedrifter bruker skylagring for å lagre ulike digitale filer på nettet, for eksempel kontrakter, bilder, filmer og / eller sikkerhetskopier. Disse filene kan inneholde personopplysninger. I slike tilfeller behandler skytjenesteleverandøren personopplysningene på vegne av sine kunder. Skytjenesteleverandøren opptrer dermed i rollen som prosessor ved behandling av personopplysninger som er lagret i deres cloud computing-tjeneste i sammenheng med levering av tjenesten til kunder.
Regnskapsselskaper
Når et selskap engasjerer et regnskapsbyrå for å administrere kontoer, fakturering, betaling av lønn eller lignende, vil regnskapsbyrået ha tilgang til personopplysninger i utførelsen av sine plikter. For eksempel vises navn og eventuell informasjon om sykefravær i lønnsslippene til de ansatte, som regnskapskontoret kan bli bedt om å opprette og sende til de ansatte. Som et resultat behandler regnskapskontoret personopplysninger på vegne av selskapet som har brukt dem til å utføre sine oppgaver.
CRM-system
Bedrifter med et stort antall ansatte og kunder har en tendens til å ha et CRM-system. Selskapet som driver CRM-systemet behandler derfor personopplysninger på vegne av selskapet som bruker tjenesten, og er derfor en behandler i sin behandling av slike personopplysninger.
Noen vanlige spørsmål om prosessorer
Hvem kan bli prosessor?
Både fysiske og juridiske personer kan være databehandlere. Med andre ord, bedrifter, organisasjoner, offentlige myndigheter og enkeltpersoner.
Kan databehandlere holdes ansvarlig for brudd på GDPR?
Ja, prosessorer kan bli bøtelagt for brudd på GDPR. I tillegg kan de være ansvarlige overfor de registrerte i samsvar med artikkel 82 i GDPR.
Hvordan skal prosessorer gjøre hvis de ønsker å engasjere en underprosessor?
Den behandlingsansvarlige må først gi sitt skriftlige samtykke for at en databehandler i sin tur skal kunne engasjere en underbehandler. Dersom det innhentes samtykke, skal databehandleren og underdatabehandleren også inngå en databehandleravtale med hverandre, i henhold til artikkel 28 i GDPR.
Krever GDPR at databehandlernes kontrakter skal være skriftlige?
Ja, databehandlernes kontrakter må være skriftlige i henhold til GDPR. Det er faktisk formelle krav til databehandlernes kontrakter i henhold til artikkel 28 i GDPR, som klart angir at det må være skriftlig. Med andre ord er muntlige databehandleravtaler ugyldige og dermed i strid med GDPR.
Databeskyttelsesansvarlig
Noen selskaper er pålagt å ha en databeskyttelsesansvarlig (DPO) i henhold til GDPR. Selv selskaper som ikke trenger å utnevne en databeskyttelsesansvarlig under GDPR, kan gjøre det frivillig som et personvernforbedrende sikkerhetstiltak.
Hva DPO-er bør gjøre
Data Protection Officers (DPOs) er involvert i å overvåke selskapets overholdelse av GDPR. Det kan være en ansatt som utfører rollen som databeskyttelsesansvarlig, men det trenger ikke å være en ansatt. DPOer skal blant annet gi råd om selskapets behandling av personopplysninger, kontrollere organisasjonens interne retningslinjer som interne prosedyrer og samle inn informasjon knyttet til selskapets behandling av personopplysninger. En databeskyttelsesansvarlig spiller dermed en viktig rolle i databeskyttelsesarbeidet i hans eller hennes virksomhet.
Rett til å kontakte databeskyttelsesansvarlig
De registrerte har rett til å kontakte databeskyttelsesansvarlig ved spørsmål om behandling av deres personopplysninger. Dette inkluderer ikke bare kunder og eksterne personer, men også ansatte i selskapet. Kontaktopplysningene til personvernombudet skal være offentlig tilgjengelige og vil normalt fremgå av personvernerklæringen som er offentliggjort på selskapets offisielle nettsted. I tillegg skal selskapet underrette personvernombudet til den nasjonale personvernmyndigheten.
Her er noen vanlige spørsmål om databeskyttelsesansvarlige
Har databeskyttelsesansvarlig personlig ansvar for selskapets behandling av personopplysninger?
Nei, personvernombudet har ikke noe personlig ansvar for hvordan selskapet behandler personopplysninger. I tillegg er det forbudt å straffe DPO for å utføre sine oppgaver. Det er ansvaret til den aktøren som personvernombudet arbeider for å sikre at behandlingen av personopplysninger er i samsvar med reglene i GDPR.
Hvilken kunnskap bør databeskyttelsesansvarlige ha?
Kjennskap til GDPR og annen relevant nasjonal personvernlovgivning. Være kjent med virksomheten, hvordan personopplysninger behandles, hvilke tekniske og organisatoriske sikkerhetstiltak selskapet har satt på plass, etc. Vennligst spre riktig informasjon og skape en god databeskyttelseskultur i virksomheten.
Må DPO være ansatt i selskapet?
Nei, en DPO trenger ikke å være ansatt i selskapet. DPO kan være en ekstern aktør. På den annen side kan det være en ansatt i foretaket. Den som opptrer som personvernombud, kan også ha andre oppgaver parallelt, med mindre dette er i strid med personvernombudets rolle.
Bør selskaper konsultere personvernombud når de utfører konsekvensutredninger?
Ja, når et selskap er pålagt å gjennomføre en konsekvensutredning, bør DPO alltid være involvert i prosessen. Det samme gjelder dersom selskapet vurderer å gjennomføre en konsekvensutredning.
Registrert
Det er viktig å vite hva en registrert er og hva deres rettigheter er, for å kunne overholde GDPR i praksis.
De registrertes rettigheter
De registrerte har flere rettigheter i henhold til GDPR. Det er vanlig å snakke om de åtte kjernerettighetene som er angitt i artikkel 15 til 22 i GDPR.
Ofte stilte spørsmål relatert til registrerte under GDPR
Kan registrerte ha rett til kompensasjon i henhold til GDPR?
Ja, registrerte kan ha rett til erstatning i henhold til artikkel 82 GDPR. Vær oppmerksom på at skader ikke er det samme som bøter. Ikke-materiell eller materiell skade er nødvendig for at en registrert skal ha rett til skade, men det finnes unntak. I noen tilfeller kan en registrert ha rett til erstatning i tilfelle frykt for fremtidig ikke-materiell skade.
Nasjonale databeskyttelsesmyndigheter
Alle EU-land har en nasjonal databeskyttelsesmyndighet. De spiller en viktig rolle i GDPR.
Spørsmål om nasjonale databeskyttelsesmyndigheter
Hvilken databeskyttelsesmyndighet kan de registrerte varsle?
De registrerte kan sende inn en melding til den nasjonale databeskyttelsesmyndigheten i sitt bostedsland. Dersom DPA mener at et annet lands DPA er mer egnet til å behandle saker, for eksempel fordi selskapet som har brutt GDPR har sitt hovedkontor der, kan de overføre saken dit. Med andre ord trenger den registrerte ikke å bekymre seg for å måtte rapportere til riktig databeskyttelsesmyndighet.
Kan nasjonale databeskyttelsesmyndigheter ilegge bøter?
Ja, nasjonale databeskyttelsesmyndigheter har makt til å ilegge bøter hvis de anser at selskaper har brutt GDPR. På den annen side er det mulig å utfordre denne avgjørelsen for domstolene.
Kan databeskyttelsesmyndigheter kreve erstatning for berørte registrerte?
Nei, databeskyttelsesmyndigheter kan ikke kreve erstatning for berørte registrerte. På den annen side ilegger de foretak bøter, en bot som ikke utleveres til registrerte. Den berørte registrerte må selv søke erstatning, enten direkte fra selskapet eller ved å reise søksmål mot selskapet i en sivil sak.
Behandle personopplysninger som arbeidsgiver
Det er svært vanlig å behandle personopplysninger som arbeidsgiver. I tillegg er det vanlig å behandle sensitive personopplysninger i arbeidslivet, noe som betyr strengere regler. Derfor er det godt å kjenne reglene i GDPR for ikke å bryte reglene, da brudd på GDPR kan føre til betydelige økonomiske konsekvenser for selskapet. For eksempel behandler arbeidsgivere vanligvis ansattes navn, muligens relatert kontaktperson, bankkontodetaljer, sykefravær, bruk av videoovervåkning, rekrutteringssystemer, etc.
Behandlingsansvarlig for arbeidsgivers behandling av personopplysninger
Det er selskapet selv som er kontrolløren og ansvarlig, og ikke lederen eller noen annen person som arbeider i virksomheten. Det er den juridiske personen selv som er arbeidsgiver og dermed ansvarlig for behandling av personopplysninger. I noen tilfeller er det imidlertid en fysisk person som kan fungere som behandlingsansvarlig, for eksempel hvis behandlingen utføres av en enkelt næringsdrivende eller av en enkeltperson.
Kan databehandlere være ansvarlige for behandlingen av personopplysninger?
Ja, for eksempel hvis et selskap som er behandlingsansvarlig engasjerer et regnskapsbyrå for å administrere lønn. I slike tilfeller er Regnskapskontoret en databehandler, men har sitt eget ansvar for behandlingen de utfører. Regnskapskontoret er derimot ikke behandlingsansvarlig for personopplysningene som behandles.
Rekrutteringssystemer og kompetansedatabaser
Mange bedrifter ansetter ansatte for å utføre sine aktiviteter effektivt. I tillegg er det vanlig å basere seg på kompetansedatabaser for rekrutteringsformål, som utgjør behandling av personopplysninger. I så fall må foretaket blant annet ha et rettslig grunnlag for denne behandlingen. Berettiget interesse er ofte det rette rettslige grunnlaget for å støtte behandlingen.
Ikke bearbeider flere personopplysninger enn nødvendig
Foretak kan bare behandle de personopplysningene som er nødvendige for formålet med behandlingen. I tillegg skal personopplysningene slettes eller anonymiseres når det ikke lenger er nødvendig å behandle dem.
Vær oppmerksom på at det er tillatt for arbeidsgiveren å fortsette å behandle personopplysningene så lenge det er mulig for den aktuelle jobbsøkeren eller arbeidstakeren å ta rettslige skritt. Derimot er sensitive personopplysninger normalt ikke tillatt for arbeidsgivere å behandle ved rekruttering. Det samme gjelder opplysninger om lovbrudd.
Ofte stilte spørsmål om rekrutteringssystemer og kompetansedatabaser
Kan samtykke brukes som rettslig grunnlag ved bruk av rekrutteringssystemer og kompetansedatabaser?
Det er i de fleste tilfeller uhensiktsmessig å bruke samtykke som rettslig grunnlag når en arbeidsgiver behandler personopplysninger om ansatte. Dette skyldes at maktforholdet er ulikt mellom partene. EDPB har også tatt opp dette i sine retningslinjer for bruk av samtykke som rettslig grunnlag.
Kan bedrifter bruke automatiserte beslutninger når de ansetter ansatte?
Den generelle regelen i GDPR betyr at ansatte, inkludert fremtidige ansatte, har rett til ikke å bli underlagt beslutninger basert utelukkende på automatisert beslutningstaking.
Bør ansatte informeres om behandling av personopplysninger i rekrutteringssystemer og kompetansedatabaser?
Ja, hovedregelen innebærer at ansatte skal informeres om behandlingen av sine personopplysninger. Med andre ord bør behandlingen ikke finne sted uten deres kunnskap.
GDPR for overvåking av ansatte
Bedrifter kan i noen tilfeller ha behov for å overvåke arbeidsplassen og/eller ansatte, for eksempel ved å ha videoovervåking i bedriftens lokaler.
Videoovervåkning på arbeidsplassen
Det kan være hensiktsmessig å ha videoovervåkning på arbeidsplassen. På den annen side utgjør det et stort brudd på personvernet, og ansatte har normalt en sterk interesse av ikke å bli utsatt for slik overvåking. Derfor bør det være sterke grunner til å ha CCTV overvåking på arbeidsplassen. For eksempel kan en gyldig grunn til å ha CCTV på lageret være at det er verdifulle eiendeler lagret der. Det er imidlertid ikke greit å ha et kamera foran toalettet, for å overvåke hvor ofte ansatte besøker toalettet.
Ofte stilte spørsmål
Hva er det vanlige rettslige grunnlaget for å støtte behandlingen i tilfelle overvåking av ansatte?
Berettiget interesse er vanligvis det riktige rettslige grunnlaget. Samtykke er generelt ikke gyldig, da det er et ulikt maktforhold mellom arbeidsgiver og arbeidstaker.
Må bedrifter gjennomføre en konsekvensanalyse når de overvåker ansatte?
Nei, dette er ikke et direkte krav i GDPR, men det kan være hensiktsmessig å gjøre det. For eksempel kan det være nødvendig for foretaket å systematisk overvåke ansattes bruk av e-post eller lignende.
Bør ansatte informeres om behandlingen knyttet til overvåking?
Ja, ansatte har rett til å bli informert om behandlingen av sine personopplysninger og overvåkingen på arbeidsplassen. På den annen side, som regel, trenger det ikke å bli gitt på hvert trinn av sjekken, men er vanligvis tilstrekkelig for at det skal utføres en gang. Informasjonen skal gis skriftlig i en personvernerklæring adressert til de ansatte.
Biometriske opplysninger
Teknisk behandling som gjør det mulig å identifisere en person ved sine fysiske, fysiologiske eller atferdsmessige egenskaper, utgjør behandling av biometriske data. For eksempel fingeravtrykk eller ansiktsgjenkjenning for å få tilgang til selskapets IT-tjenester og -systemer.
Biometriske data er sensitive personopplysninger i henhold til GDPR
Ifølge artikkel 9 i GDPR er biometriske data sensitive personopplysninger. Behandling av sensitive personopplysninger er generelt forbudt, men det finnes noen spesifikke unntak. Det er viktig å huske på at behandlingen av sensitive personopplysninger er mer krevende enn behandlingen av «vanlige» personopplysninger.
Ofte stilte spørsmål
Kan arbeidsgivere behandle biometriske data?
Ja, men arbeidsgiver må ha et rettslig grunnlag og alvorlige grunner for å behandle biometriske data. Samtykke er normalt ikke hensiktsmessig som rettslig grunnlag, da maktforholdet mellom arbeidsgiver og arbeidstaker er ulikt.
Kan skoler eller arbeidsgivere bruke biometriske data, for eksempel ansiktsgjenkjenning, for oppmøtekontroller?
Som hovedregel er svaret «nei». I Sverige brukte en skole ansiktsgjenkjenning for å sjekke elevenes oppmøte og måtte betale en bot for å gjøre det.
Må bedrifter gjennomføre en konsekvensanalyse før bruk av biometriske data?
GDPR fastsetter ikke eksplisitt at selskaper må gjennomføre en konsekvensanalyse før behandling av biometriske data. Dette kan imidlertid være nødvendig.
Mer om GDPR
Lær mer om det grunnleggende
GDPR er et omfattende sett med regler som selskaper må overholde hvis de behandler personopplysninger som tilhører enkeltpersoner i EU / EØS. For å forstå hvordan et selskap bør gjøre i praksis for å overholde GDPR, er det viktig å forstå årsakene til denne EU-forordningen. For eksempel må selskaper ha et juridisk grunnlag for hver enkelt behandling, overholde de grunnleggende databeskyttelsesprinsippene, forstå konsekvensene selskaper kan ha ved brudd på GDPR, vite hvilke rettigheter ansatte har og hvordan de skal håndtere brudd på personopplysninger.