GDPR: Mer detaljerte krav til informasjon

Med de nye personvernreglene må den enkelte virksomhet være bevisst både på hvilken informasjon man plikter å gi ved behandling av personopplysninger, hvordan informasjonen utformes, og hvordan den gjøres tilgjengelig for arbeidstaker og eventuelt andre registrerte.
EUs personvernforordning, General Data Protection Regulation (GDPR), gjelder som norsk lov, og tidligere personopplysningslov er erstattet med en ny personopplysningslov. Reglene trådte i kraft 20. juli 2018. Nytt regelverk utløser nye plikter for alle virksomheter. Blant annet er kravene til informasjon om behandling av personopplysninger skjerpet.

Når inntrer informasjonsplikt?

Rekruttering skjer ofte elektronisk, virksomheten benytter adgangskort, og man bruker kanskje et timeregistreringssystem. I slike situasjoner lagres og oppbevares opplysninger som kan knyttes til en enkeltperson, altså personopplysninger. Behandlingen av personopplysninger utløser informasjonsplikt for den behandlingsansvarlige overfor den registrerte, for eksempel en arbeidstaker. Noe informasjon skal gis på eget initiativ, mens annen informasjon skal gis når den registrerte ber om det, enten det er en arbeidssøker, arbeidstaker eller andre.

Når virksomheten samler inn opplysninger fra den registerte selv, for eksempel fra arbeidstsaker, skal det blant annet informeres om hva som er formålet med behandlingen av personopplysningene. Det skal også informeres om forhold som gjør arbeidstaker i stand til å bruke sine rettigheter etter loven på best mulig måte, for eksempel retten til å kreve retting eller sletting av personopplysninger, og hvordan man skal gå fram i slike tilfeller. Hva det skal informeres om og unntakene fra informasjonsplikten er detaljert beskrevet i personvernforordningen artikkel 13 og 14.

Strengere krav til form og språk

Reglene for når informasjon skal gis, og unntakene fra informasjonsplikten er i stor grad videreført i nytt regelverk, men det skal gis noe mer informasjon om behandling av personopplysninger enn før. I tillegg stilles det strengere krav til informasjonens form og språk. Informasjonen skal også være lett tilgjengelig for den registrerte.

Virksomheter som behandler personopplysninger må derfor, i tillegg til å sette seg inn i hva man plikter å informere om, være mer bevisst på hvordan informasjonen utformes. Informasjonen skal etter forordningen være kortfattet, og språket skal være forståelig og tydelig. Man skal blant annet ta hensyn til den målgruppen man skal nå ut til, når informasjonen gis.

Åpenhet og gjennomsiktighet er et viktig prinsipp i forordningen, og for å imøtekomme dette prinsippet må informasjonen også være lett tilgjengelig for den opplysningene gjelder. Man må sørge for at den nødvendige informasjonen når ut til arbeidstaker og eventuelt andre registrerte, for eksempel på et intranett eller en hjemmeside. Er informasjonen om behandling av personopplysninger samlet i virksomhetens personvernerklæring eller en personvernpolicy, må slike dokumenter både være tilgjengelige og forståelige for den registrerte.

Bedre rettssikkerhet

Strengere krav til informasjon for den behandlingsansvarlige kan bidra til at arbeidstakere og andre registrerte får mulighet til å ivareta sine personverninteresser på en bedre måte.

Det er derfor viktig at den behandlingsansvarlige er bevisst på sin plikt til å informere.

Anne Toril Johnsgaard

Anne Toril Johnsgaard

Anne Toril er jurist og har mer enn 20 års erfaring innen arbeidsrett og HR-faget.

Til daglig jobber hun som seniorrådgiver innen arbeidsrett, personal og ledelse i Compendia.

Anne Toril Johnsgaard

Anne Toril Johnsgaard

Anne Toril er jurist og har mer enn 20 års erfaring innen arbeidsrett og HR-faget.

Til daglig jobber hun som seniorrådgiver innen arbeidsrett, personal og ledelse i Compendia

ME snakkes snart!