GDPR – tiltak
Interne fortrolighetsavtaler for ansatte i et foretak
Det er vanlig å ha interne konfidensialitetsavtaler for ansatte i et selskap. Alternativt en klausul om taushetsplikt i arbeidsavtalen. I tillegg er det viktig å inkludere en fortrolighetsklausul i databehandlernes kontrakter.
Avtale om taushetsplikt eller konfidensialitetsklausul i arbeidsavtalen
Det er vanlig at arbeidsavtaler inneholder en konfidensialitetsklausul. Alternativt, for å legge til en egen taushetserklæring som et vedlegg til arbeidsavtalen. I disse tilfellene er bestemmelsene om taushetsplikt ofte formulert i generelle vendinger, og har som mål å beskytte arbeidsgiverens fortrolige opplysninger. Taushetsplikten ligger derfor først og fremst hos den ansatte. Dette er en form for ensidig taushetsplikt. Det motsatte er det som kalles gjensidige fortrolighetsforhold. På den annen side er de mindre vanlige i arbeidskontrakter.
Skriftlige kontrakter er mest hensiktsmessige
I mange tilfeller er muntlige og skriftlige kontrakter like gyldige, men det er lettere å bevise skriftlige kontrakter i tilfelle tvist. Det anbefales derfor å dokumentere kontraktene skriftlig. Det er ikke noe formelt krav om at en taushetserklæring må være skriftlig, noe som betyr at den i teorien kan være muntlig. På den annen side, hvis det ikke er mulig å bevise at kontrakten er inngått, kan det være problemer, og derfor bør kontrakten være skriftlig.
Inkludere fortrolighetsklausul i databehandlerkontrakter
I henhold til artikkel 28 nr. 3 bokstav b) i GDPR skal en databehandlers avtale inneholde en fortrolighetsklausul. Nærmere bestemt må det være klart at databehandleren sikrer at personene som er autorisert til å behandle personopplysningene, har forpliktet seg til konfidensialitet. Alternativt må databehandleren sikre at disse personene i stedet er underlagt en hensiktsmessig rettslig taushetsplikt.
Mulige konsekvenser uten klare krav til konfidensialitet
Datalekkasjer
Uautorisert utlevering av personopplysninger
Bøter pålagt av håndhevingsmyndighetene
Skade på registrerte
Databehandleren bør inngå en egen fortrolighetsavtale med sine ansatte
Selskapet, som databehandler, bør inngå en egen taushetserklæring med sine ansatte. Konfidensialitetsavtalen bør særlig regulere personalets behandling av personopplysninger som omfattes av databehandleravtalen. På denne måten kan databehandleren presentere denne separate fortrolighetsavtalen for den behandlingsansvarlige på forespørsel, eller tilsynsmyndigheten ved gjennomgang. I dette tilfellet er databehandleren ikke pålagt å presentere ansettelseskontraktene til sine ansatte, ettersom fortrolighet reguleres separat og ikke er nedfelt som en fortrolighetsklausul i ansettelseskontrakten.
Eksempler på personopplysninger som ansatte ofte har tilgang til
Personopplysninger knyttet til kunder
Informasjon om andre ansatte
Sensitive personopplysninger
Ikke alle ansatte har alltid behov for å ha tilgang til personopplysningene
Det er ikke alltid nødvendig for alle i et selskap å ha tilgang til alle personopplysninger som behandles av selskapet. Spesielt ikke når det gjelder personvernsensitive personopplysninger. Det er derfor viktig å ha hensiktsmessig styring av kompetanse. For eksempel må en revisor som forvalter hele enhetens økonomi, vanligvis behandle personopplysningene til alle ansatte. Det inkluderer informasjon om sykefravær, som er sensitive personopplysninger om helse, i henhold til artikkel 9 i GDPR. Derimot er det ikke nødvendig for alle i foretaket å ha tilgang til slike personopplysninger.
Hva kan en taushetserklæring inneholde?
Definer hva som er konfidensielt
Det er viktig å definere nøyaktig hva som er klassifisert. For eksempel opplysninger om foretakets kunder, systemer, personopplysninger som behandles i forbindelse med virksomheten.
Klargjør forbud
Gjør det klart at det ikke er tillatt å spre informasjonen til uautoriserte tredjeparter.
Krav om å beskytte konfidensiell informasjon som involverer personopplysninger
Krav til beskyttelse av slik informasjon; For eksempel, ikke lese klassifisert informasjon i offentlige rom og lagre den på et sikkert sted.
Frist for kontrakten
Det er ikke uvanlig at taushetsplikten fortsetter selv etter ansettelse i et visst antall år. I noen tilfeller kan taushetsplikten gjelde selv etter at arbeidsforholdet er avsluttet, uten tidsbegrensning.
Konsekvenser av kontraktsbrudd
Sørg for å inkludere hva som skjer hvis taushetsplikten brytes. For eksempel at det kan føre til arbeidsrettslige konsekvenser, for eksempel oppsigelse.
Det vises til andre interne retningslinjer som foretaket har
Det er ikke uvanlig å referere til andre interne retningslinjer, for eksempel ulike GDPR-prosedyrer.
Gjennomføre taushetsplikt i praksis
Ha det som en del av onboarding-prosessen
Sørg for at alle nye medarbeidere får informasjon om konfidensialitet, forstår det og signerer før de får tilgang til dataene. Alternativt kan konfidensialitetsavtalen omformuleres til en konfidensialitetspolitikk i stedet, noe som er tydelig angitt i arbeidsavtalen. Men selv i disse tilfellene er det nyttig for selskapet å få bevis på at de ansatte faktisk har tatt oppmerksom på det gjennom signaturen.
Sikre regelmessig opplæring av ansatte
Det kan være nyttig å minne og trene personalet regelmessig. Husk at ansatte bør forstå hva konfidensialitet egentlig betyr i praksis.
Påminnelse om off-boarding
Det handler om å minne ansatte som slutter å jobbe med konfidensialiteten til offboarding-prosessen.
Noen roller og yrker kan kreve økt konfidensialitet
Noen stillinger (som økonomiansvarlig, HR, kundeservice) kan kreve økt konfidensialitet, da disse personene kan ha tilgang til ganske sensitiv informasjon. Det samme gjelder for visse profesjonelle roller som psykologer og lærere.
Når det virkelig kan være hensiktsmessig å ha en taushetserklæring
- Når ansatte bruker CRM-systemer til å håndtere opplysninger om arbeidsgivers kunder.
- Personer som administrerer personalets personopplysninger.
- Personer som arbeider med IT-støtte og i sitt arbeid har tilgang til informasjon om arbeidsgivers kunder, brukere mv.
- Når selskapet behandler personopplysninger i rollen som databehandler, på vegne av en annen aktør som er behandlingsansvarlig.
Mer informasjon
Rengjør skrivebordsrutinen
Et annet organisatorisk sikkerhetstiltak som kan være nyttig for bedrifter å søke er clean-desk-prosedyren og å ha en clean-desk-policy. Med andre ord gir ansatte ikke dokumenter eller annen informasjon som inneholder personopplysninger eller annen viktig informasjon uten tilsyn eller / og hvor uautoriserte personer kan se det. Et rent skrivebord er et enkelt organisatorisk tiltak som kan redusere risikoen for uautorisert tilgang til informasjon.