Personvern

GDPR er i dag en del av personopplysningsloven. Alle virksomheter som samler inn eller bruker personopplysninger om EU/EØS-borgere må følge reglene.

  • Kan du som arbeidsgiver opplyse om ansatte som er smittet?

    Opplysning om at en ansatt er smittet med koronavirus er å regne som en helseopplysning/sensitiv personopplysning. Personvernregelverket har strenge regler for behandling av slike opplysninger, som kommer i tillegg til de vanlige reglene for behandling av ikke-sensitive personopplysninger.

    Arbeidsgivers informasjon til sine ansatte om mulige smittede og smittede skal begrenses til det som er nødvendig for å sikre et forsvarlig arbeidsmiljø. I utgangspunktet skal ikke arbeidstakernes navn nevnes, da det normalt vil være tilstrekkelig å opplyse om antall ansatte i eventuell karantene eller antall ansatte som er smittet.

    Dersom arbeidsgiver etter en konkret vurdering finner det nødvendig å navngi en ansatt som er smittet, for eksempel for å varsle andre ansatte som har vært i kontakt med den smittede, må dette gjøres i samråd med den ansatte. Det er svært viktig at arbeidsgiver til enhver tid ivaretar den ansattes integritet og verdighet, ikke bare direkte overfor den smittede, men også overfor de øvrige ansatte i virksomheten.

    Informasjon til utenforstående

    Arbeidsgiver skal ikke informere kunder, leverandører eller andre utenforstående om navngitte ansattes smitte- eller karantenesituasjon. 

    Beskjeden til utenforstående som ønsker å få kontakt med den ansatte kan for eksempel være at vedkommende er fraværende eller ikke tilgjengelig.

    Dersom den ansatte har hjemmekontor eller er tilgjengelig på annen måte, bør kommunikasjonen utad gjøres i samråd med den ansatte, i den grad det er behov for å informere om smitte eller karantene.

Hva regnes som personopplysninger?

Personopplysninger er informasjon som kan knyttes til deg som enkeltperson. Navnet ditt, e-postadressen din, telefonnummeret ditt og bostedsadressen din er eksempler på personopplysninger.

Hva er sensitive personopplysninger?

Sensitive personopplysninger, omtalt som «særlige kategorier av personopplysninger» i GDPR, er personopplysninger om følgende forhold:

  • Rasemessig eller etnisk opprinnelse
  • Politisk oppfatning
  • Religion
  • Filosofisk overbevisning
  • Fagforeningsmedlemskap
  • Genetiske opplysninger
  • Biometriske opplysninger
  • Helseopplysninger
  • Opplysninger om seksuelle forhold eller seksuell orientering

Må jeg slette all data om jeg ikke har samtykke?

Mange tror at GDPR krever at du må slette alt du ikke har fått samtykke til. Slik er det heldigvis ikke. Unødvendig sletting av personopplysninger skaper praktiske problemer for både virksomheter og enkeltpersoner, og bidrar til at altfor mye tid og ressurser brukes på annet enn verdiskaping. Mange er ikke klar over at samtykke kun er ett av flere alternative grunnlag for behandling av personopplysninger.

Hva må du gjøre for å følge GDPR?

Det viktigste for deg som arbeidsgiver er å behandle personopplysninger på riktig måte. Dette kan du enkelt få til ved å følge Virkes 7 steg:

  • 1. Skaff deg oversikt

    Det første du må gjøre for å overholde personvernregelverket, er å skaffe deg oversikt over hvilke personopplysninger bedriften samler inn, bruker og behandler.

  • 2. Sjekk om du har et behandlingsgrunnlag

    Bruk av personopplysninger forutsetter at bedriften din har et såkalt behandlingsgrunnlag. Et behandlingsgrunnlag vil typisk være et samtykke, en avtale eller en lovbestemt forpliktelse.

  • 3. Lag en personvernerklæring

    Du som behandler personopplysninger må tydelig formidle til de det gjelder hvordan bedriften samler inn denne informasjonen, og hvordan dere behandler personopplysninger. I tillegg skal du gjøre informasjonen lett tilgjengelig for den du samler opplysninger om.

  • 4. Få sving på internkontrollen

    Bedriften din må ha gode, skriftlige rutiner for hvordan dere behandler personopplysninger.

  • 5. Sørg for trygg behandling av personopplysningene

    Bedriften din må sørge for at personopplysninger ikke kommer på avveie eller blir tilgjengelig for utenforstående.

  • 6. Vurder om du trenger et personvernombud

    Bedrifter som behandler store mengder personopplysninger eller sensitive personopplysninger, kan være forpliktet til å ha et personvernombud.

  • 7. Overfør personopplysninger på en sikker måte

    I mange tilfeller trenger du å overføre personopplysninger ut av virksomheten, for eksempel til samarbeidspartnere, leverandører eller myndigheter. Det er viktig at slik overføring gjøres på en sikker måte, og i enkelte tilfeller må du inngå en en såkalt databehandleravtale med mottakeren.

Rådgivningstelefonen

Telefonen er bemannet hver arbeidsdag kl. 08.15-16.00. Husk å ha medlemsnummeret klart.

Ring oss på 22 54 17 00 

Er du medlem kan du også sende din forespørsel til arbeidsrett@virke.no eller forretningsjuridisk@virke.no