Hva er GDPR?

GDPR (General Data Protection Regulation) er EUs personvernforordning som regulerer hvordan vi behandler personopplysninger. Den norske personopplysningsloven er basert på GDPR.

Som arbeidsgiver behandler du store mengder personopplysninger om ansatte – fra søknadsprosess til avslutning av arbeidsforhold.

Hvilke opplysninger gjelder det?

Personopplysninger HR behandler:

• Navn, adresse, fødselsnummer, kontaktinfo
• Lønn, bankkonto, skatteinfo
• Arbeidstid, fravær, sykemeldinger
• Evalueringer, referanser, attester
• CV, karakterer, sertifikater
• Bilder og videoer av ansatte

Særlige kategorier (krever ekstra forsiktighet):

• Helseopplysninger (sykemeldinger, HMS-informasjon)
• Fagforeningsmedlemskap
• Politisk/religiøs overbevisning
• Etnisk opprinnelse

Grunnleggende prinsipper

• Lovlig grunnlag: Du må ha hjemmel for å behandle persondata (arbeidsavtale, lov, samtykke)
• Formålsbegrensning: Bare samle data du faktisk trenger
• Dataminimering: Ikke samle mer enn nødvendig
• Lagringsminimering: Slett data når du ikke trenger den lenger
• Sikkerhet: Beskytt dataen mot uvedkommende
• Åpenhet: Ansatte skal vite hvilke data du har og hvorfor

Ansattes rettigheter

Ansatte har rett til:

• Innsyn: Se hvilke opplysninger du har om dem
• Retting: Få rettet feil informasjon
• Sletting: Få slettet unødvendige data (med visse begrensninger)
• Dataportabilitet: Få utlevert sine data i strukturert format
• Protestere: Motsette seg visse typer behandling

Du må svare på forespørsler innen 30 dager.

Praktiske tiltak

• Personvernerklæring: Informer ansatte om hvilke data du behandler og hvorfor
• Behandlingsprotokoll: Dokumenter alle typer persondata du behandler
• Tilgangskontroll: Kun de som trenger tilgang skal ha det
• Sikker lagring: Passordbeskytt filer, krypter sensitiv data
• Databehandleravtaler: Hvis du bruker HR-systemer, lønnsystemer osv.
• Slettingsrutiner: Slett søkerdata etter 6 måneder, ansattdata etter 3-5 år

Rekruttering og GDPR

Ved ansettelse må du:

• Informere søkere om hvordan du behandler deres data
• Ikke be om mer informasjon enn nødvendig (f.eks. sivilstatus, barns alder)
• Ikke spørre om sensitiv informasjon uten hjemmel
• Slette søknadene til kandidater som ikke fikk jobben etter 6 måneder
• Lagre kun ansettelsesdokumenter for dem som fikk jobben

Hva skjer ved brudd?

Personvernbrudd (datainnbrudd, feil e-post sendt, mistet USB-pinne) må:

• Meldes til Datatilsynet innen 72 timer hvis det er risiko for de berørte
• Varsle de berørte hvis det er høy risiko
• Dokumentere hendelsen internt

Straff: Brudd på GDPR kan gi bøter på opptil 2% av global omsetning eller 10 millioner euro (det høyeste).

Hva er GDPR?

GDPR (General Data Protection Regulation) er EUs personvernforordning som gjelder i Norge. Den regulerer hvordan virksomheter behandler personopplysninger.

Som HR-ansvarlig håndterer du sensitive opplysninger daglig – og har et særskilt ansvar for å gjøre det riktig.

Hvilke data gjelder GDPR for?

Personopplysninger:

• Navn, fødselsnummer, adresse, telefon, e-post
• Lønnsopplysninger og bankkonto
• CV, referanser, kompetansevurderinger
• Arbeidstidsregistrering

Særlige kategorier (krever ekstra vern):

• Helseopplysninger (sykmelding, tilrettelegging)
• Fagforeningsmedlemskap
• Etnisk opprinnelse, religion

Lovlig behandlingsgrunnlag

For å behandle personopplysninger må du ha et lovlig grunnlag:

• Avtale: Nødvendig for å oppfylle arbeidsavtale (lønn, ferie, arbeidsoppgaver)
• Lovpålagt: Skatteetaten, NAV, A-melding
• Samtykke: For deling av bilde, personalprofil på nett (kan trekkes tilbake)
• Berettiget interesse: Sikkerhet, varslingssaker

Ansattes rettigheter

Ansatte har flere rettigheter du må respektere:

• Rett til innsyn: Se hvilke opplysninger dere har
• Rett til retting: Få rettet feil opplysninger
• Rett til sletting: Fjerne opplysninger (med visse unntak)
• Rett til dataportabilitet: Få data i maskinlesbart format
• Rett til å protestere: Mot behandling av opplysninger

Frist: Dere må svare innen 30 dager.

Oppbevaring og sletting

Du kan ikke oppbevare persondata lenger enn nødvendig:

• Aktive ansatte: Så lenge arbeidsforholdet varer + 3-5 år etter
• Jobbsøkere (avslag): Maks 6 måneder
• Lønnsopplysninger: Minimum 5 år (regnskapsloven)
• Personalmappe: 3-5 år etter opphør

Slett det dere ikke trenger!

Sikkerhet og tilgangskontroll

• Bruk sikre passord og to-faktor autentisering
• Krypter sensitive dokumenter
• Begrens tilgang – bare de som trenger det skal ha innsyn
• Låsbare skap for fysiske dokumenter
• Ikke send persondata på usikker e-post

Hva er GDPR?

GDPR (General Data Protection Regulation) er EUs personvernforordning som regulerer hvordan bedrifter behandler personopplysninger. I Norge er dette implementert gjennom personopplysningsloven.

Personopplysninger er all informasjon som kan knyttes til en identifiserbar person – navn, telefonnummer, e-post, lønn, CV, osv.

Hvilke personopplysninger behandler HR?

Som HR håndterer du daglig sensitive opplysninger:

• Rekruttering: CV, søknad, intervjunotater, referanser
• Ansettelse: Kontrakt, bankkontonummer, skatteinfo
• Lønn: Lønnsopplysninger, skattetrekk, feriepenger
• Sykefravær: Sykemeldinger, dialogmøtereferater
• Utviklingssamtaler: Notater, vurderinger, mål

Lovlig behandlingsgrunnlag

For å behandle personopplysninger trenger du et lovlig grunnlag:

• Arbeidsavtale: Nødvendig for å oppfylle arbeidsavtalen (lønn, skatt, feriepenger)
• Lovpålagt: Plikter etter arbeidsmiljøloven, skatteloven, osv.
• Samtykke: Den ansatte har sagt ja til behandlingen
• Berettiget interesse: Bedriften har en legitim grunn (f.eks. sikkerhet)

Viktig: Du kan ikke bare behandle personopplysninger fordi du har lyst – det må være et lovlig grunnlag.

Ansattes rettigheter

Ansatte har flere rettigheter under GDPR:

• Innsyn: Rett til å se hvilke opplysninger bedriften har
• Retting: Rett til å få rettet feil informasjon
• Sletting: Rett til å få slettet unødvendige opplysninger
• Begrensning: Rett til å begrense behandlingen
• Dataportabilitet: Rett til å få utlevert sine data

Dere må kunne svare på slike forespørsler innen 30 dager.

Sikkerhet og oppbevaring

Personopplysninger må beskyttes:

• Tilgangskontroll: Kun de som trenger tilgang skal ha det
• Kryptering: Følsomme data skal krypteres
• Sikre systemer: Bruk godkjente HR-systemer med god sikkerhet
• Ikke utlevere: Ikke del ansattes info med eksterne uten grunn
• Slett unødvendig data: Ikke behold opplysninger lenger enn nødvendig

Lagringsfrister: Lønnsdata 5 år, CV fra avslåtte søkere 6 måneder, arbeidsavtaler 10 år etter opphør.

Hva skjer ved brudd?

Ved personvernbrudd (datainnbrudd, feilsendt e-post med sensitiv info, osv.):

• Vurder om Datatilsynet må varsles (innen 72 timer)
• Varsle de berørte personene hvis det er høy risiko
• Dokumenter hendelsen og tiltak

Bøter: Datatilsynet kan gi bøter på opptil 20 millioner euro eller 4% av omsetning.

Hva er GDPR?

GDPR (General Data Protection Regulation) er EUs personvernforordning som også gjelder i Norge. Som arbeidsgiver behandler du masse personopplysninger om ansatte – og da må du følge GDPR.

Brudd på GDPR kan føre til store bøter – opptil 4% av global omsetning eller 20 millioner euro.

Hvilke personopplysninger behandler dere?

I HR behandler du typisk:

• Navn, adresse, telefon, e-post
• Fødselsnummer
• Bankkontonummer
• Lønnsinformasjon
• Sykefraværsdata
• Evalueringer og performance data
• CV og søknadsinformasjon
• Referanser

Noe av dette er sensitive personopplysninger (f.eks. helseopplysninger) som krever ekstra beskyttelse.

Behandlingsgrunnlag

Du må ha et lovlig grunnlag for å behandle personopplysninger. I arbeidsforhold er vanlige grunnlag:

• Avtale: Nødvendig for å oppfylle arbeidsavtalen (f.eks. lønnsutbetaling)
• Lovpålagt: Plikter etter lov (f.eks. skattetrekk, a-melding)
• Berettiget interesse: Når bedriftens interesse veier tyngre enn personvernet
• Samtykke: Når de ansatte gir frivillig, spesifikt samtykke

Ansattes rettigheter

Ansatte har flere rettigheter du må respektere:

• Innsyn: Rett til å få kopi av sine personopplysninger
• Retting: Rett til å få rettet feil informasjon
• Sletting: Rett til å få slettet data (med visse unntak)
• Begrensning: Rett til å begrense bruken av data
• Dataportabilitet: Rett til å få data i et lesbart format
• Protestere: Rett til å protestere mot behandling

Slik sikrer du dataene

• Tilgangskontroll: Kun de som trenger det får tilgang
• Kryptering: Sensitive data skal krypteres
• Passord: Sterke passord og tofaktorautentisering
• Fysisk sikring: Lås skap med personalmapper
• Backup: Sikkerhetskopiering av data
• Opplæring: Ansatte må vite hvordan de håndterer persondata

Hvor lenge kan du lagre data?

Du kan ikke lagre personopplysninger lenger enn nødvendig:

• Lønnsdata: Minimum 5 år (bokføringsloven)
• Søkerlister: 6 måneder etter ansettelse
• Avsluttede ansatte: 3-5 år for personaldata
• Sykefraværsdata: Så lenge nødvendig for oppfølging

Slett data når du ikke lenger trenger det!