Norske virksomheter ikke klare for nytt personvernregelverk
Norske bedrifter aner ikke hvor lenge de kan oppbevare informasjon eller når den skal slettes, viser en fersk undersøkelse fra HR Norge. I mai kan dette få alvorlige konsekvenser for norske virksomheter.
HR Norge har gjennomført en undersøkelse om hvordan det står til med håndteringen av personvern i arbeidslivet tre måneder før EUs personvernregler, GDPR, innføres.
Resultatene er nedslående. Virksomhetene er ikke klar over hvor lenge de kan oppbevare informasjon, og de sletter heller ikke informasjon. Undersøkelsen viser blant annet at omtrent ni av ti virksomheter aldri sletter data som cv-er, attester eller søknader. Det samme gjelder oppbevaring av regnskapsdata, lønnsinformasjon og medarbeiderevaluering.
I strid med lovverket
- Dette er stikk i strid med hva det nye lovverket sier om oppbevaring av informasjon. Bedriftene som ikke følger det nye regelverket kan få store bøter fra Datatilsynet. Ansatte kan gå sammen om søksmål mot arbeidsgivere og tidligere arbeidsgivere, sier advokat Eva Jarbekk i Advokatfirmaet Schjødt, og en av Norges ledende advokater innen personvern.
Mange norske bedrifter er små eller mellomstore. I følge daglig leder i HR Norge, Even Bolstad, kan dette være årsaken til at bedriftene ikke har opparbeidet seg gode rutiner eller nok kunnskap om personvern. Men også store virksomheter sliter.
- Resultatene fra undersøkelsen er helt krise. Personopplysninger flyter rundt i bedriftene og kontrollen er ikke-eksisterende. Det legges imidlertid nå ned en betydelig innsats for å bedre rutinene, men det finnes knapt en virksomhet som kommer til å være klare for de nye reglene innen fristen som er 1. mai, sier Bolstad.
Utarbeidet standard
HR Norge har utarbeidet en veileder som skal gjøre det enklere for virksomhetene å tilpasse rutinene til det nye regelverket som trer i kraft om kort tid. Den praktiske standarden vil bli publisert på HR Norges nettsider.
- Standarden bør i utgangspunktet bli en norm til etterlevelse. Mange bedrifter vet for eksempel ikke hva de skal gjøre med CVer, lønnsslipper og helseopplysninger, forteller Bolstad.
Hva bør norske virksomheter gjøre nå (kilde Datatilsynet)
1. Ha en oversikt over hvilke personopplysninger dere behandler.
Alle virksomheter som samler inn eller bruker personopplysninger skal ha oversikt over hvilke personopplysninger det er snakk om, hvor de kommer fra og hva som er det rettslige grunnlaget for behandlingen. Sørg for å ha en slik oversikt. Det er et krav som gjelder også etter dagens behov.
2. Sørg for å oppfylle dagens lovkrav.
Overgangen til de nye reglene blir lettere om dere etterlever kravene i personopplysningsloven, som gjelder i Norge i dag. Har dere gode rutiner for internkontroll som fungerer etter hensikten og er kjent i organisasjonen, er det lettere å få oversikt over hva dere må endre.
3. Sett dere inn i det nye regelverket.
Dere finner forordningsteksten på Datatilsynets nettsider. Der fyller vi også på med artikler om de nye reglene etter hvert som vi utarbeider dem.
4. Lag rutiner for å følge de nye reglene.
Gå gjennom rutinene dere har for behandling av personopplysninger. Oppdater dem etter nytt regelverk der det trengs. Dokumenter de nye rutinene, og legg en plan for nødvendige endringer. Er systemene deres laget for å ivareta kravet til innebygd personvern, dataportabilitet og personvern som standardinnstilling? Klarer dere å fange opp og besvare henvendelser fra borgerne innen en måned? Endringer i systemer og rutiner tar tid. Begynn allerede nå!