GDPR – EUs personvernforordning trer i kraft

Fra 2018 trer EUs personvernforordning (GDPR) i kraft.

Ordningen skulle opprinnelig tre i kraft fra 25. mai 2018 men er foreløpig utsatt til tidligst 1. juli 2018.

Personvernforordrningen betyr at du som arbeidsgiver må vite hva som er sensitive personopplysninger og hva som er  «ikke-sensitive» personopplysninger. Opplysningene må oppbevares og deles på godkjent måte. Dersom bedriften registrerer sensitive personopplysninger skal dette informeres til vedkommende på en kortfattet, lett og forståelig måte. De skal få vite hvem som registrerer opplysninger, formål med registreringen og hvor lenge opplysningen lagres. Videre skal det opplyses om hvor opplysningene er lagret og hvem de utleveres til, samt om klagerett til datatilsynet, rett til innsyn, retting og sletting.

Sensitive personvernopplysninger etter EUs personvernforordning (GDPR) er (kilde Infotjenester):

  • rasemessig eller etnisk opprinnelse
  • politisk oppfatning
  • religion
  • overbevisning eller fagforeningsmedlemskap
  • behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en person
  • helseopplysninger
  • opplysninger om en persons seksuelle forhold eller seksuelle orientering.

Det er ikke lov å sende sensitive personopplysninger på e-post som ikke er kryptert (passordbeskyttet). Dersom en sender en lønnslipp til en ansatt via ukryptert epost som inneholder fagforeningstrekk eller trekk i lønn som følge av straffbare handlinger, vil dette være i strid med loven. Personopplysninger skal heller ikke lagres lenger enn det som er nødvendig for å «tjene formålet». Dette betyr at arbeidsgiver må ha rutiner for å gjennomgå hva som lagres. I tillegg må en sørge for at opplysningene er lagret på en måte som tilfredsstiller Personopplysningsloven. En kan likevel være pliktig til å lagre opplysninger på bakgrunn av Bokføringsloven eller Arkivloven.

Hva er konsekvensene av å ikke overholde regelverket? Det kan ilegges bøter som skal stå i forhold til overtredelsen og som virker avskrekkende. Innenfor EU er bøtesats for brudd fra 2% til 4% av selskapets/konsernets omsetning begrenset oppad til 20 millioner euro.

Vi har valgt SIFR som løsning for deling og oppbevaring av personvernopplysninger mot våre kunder. Dersom du har behov for en slik løsning internt i din organisasjon ta kontakt med oss.