15. jun. 2018

GDPR - hva betyr det for din bedrift og som bruker av Karriere.no?

GDPR er en forordning fra EU som erstatter dagens regelverk for personvern i Norge. Målet med GDPR er å bedre beskyttelsen for brukere og legge mer ansvar på bedrifter som samler inn personopplysninger. Regler for samtykke, innsamling og behandling av data, dokumentasjon av rutiner og muligheter for sletting av data blir strengere.

Kort fortalt må du dokumentere hvilke personopplysninger du lagrer om hvem, hvor de er lagret, at sikkerheten er ivaretatt og at samtykke er innhentet. Du må kunne fortelle brukeren hvilke opplysninger som er lagret, du må kunne slette opplysningene, og dokumentere dette, om han/hun ønsker det

Hva er personopplysninger?
Personopplysninger er opplysninger som som omhandler en enkeltperson. Dette kan være navn, adresse, personnummer, telefonnummer, epost-adresse, ip-adresse, registreringsnummer, etc. Hvordan personen bruker en løsning (karriere.no, internett) inkludert logger er også regnet som personopplysninger.  

Noen opplysninger er regnet som sensitive; religion, politisk oppfatning, helseopplysninger, etc. (Vi etterspør eller lagrer ingen sensitive personopplysninger i Karriere.no)

Generelt - Forberedelser til GDPR
Bedriften må utarbeide rutiner for behandling av personopplysninger og dokumentasjon om hvordan dere oppfyller kravene. Det må også på plass noen avtaler med kunder og leverandører. Det handler om å være klar om hvordan dere håndterer personopplysninger.

Oversikt
Få oversikt over hvilke personopplysninger dere har lagret. Dette må dokumenteres slik at dere kan svare for kunder, leverandører eller myndigheter (datatilsynet).
  • Hvordan er de innhentet?

  • Hva skal de brukes til? Hva er hensikten?

  • Har dere innhentet samtykke fra personen, eller har dere rettslig grunnlag for oppbevaring?

  • Hvordan oppbevares de? Har dere noe som er oppbevart fysisk?

  • Hvem har tilgang til de?

  • Hvor lenge skal de oppbevares?

  • Hva er rutiner for sletting?

Hvis dere har opplysninger der det ikke er hentet inn samtykker eller det mangler rettslig grunnlag må det gjøres en jobb. Enten slette informasjonen (og dokumentere at (og hvordan) dette er gjort), eller hente inn samtykke fra personen det gjelder.

Innhente Samtykke
GDPR skal forbedre personers mulighet til å vite hva som lagret hvor, og gi de en mulighet til å bli “glemt” (les få slettet sine data). Derfor må den som etterspør og lagrer personopplysninger få samtykke fra personen det gjelder. Samtykke fra den som gir fra seg personopplysninger skal også være informert om, og forstå:

  • hva lagres av opplysninger, og hvor de kommer fra (andre registere)

  • er det frivillig å gi fra seg opplysninger

  • hva opplysningene skal brukes til, og hvordan de blir behandlet/brukt

  • hvordan de lagres, og hvor lenge de skal lagres

  • hvordan personen kan få de endret eller slettet

Sikkerhet
Bedriften skal sørge for datasikkerheten for personopplysninger, og at dette kan dokumenteres. Opplysninger skal kun være tilgjengelige for de som skal tilgang, og du skal ha oversikt over hvilke personer som har tilgang. Ved brudd på sikkerheten eller brudd på rutiner (f.eks. utilsiktet bruk av opplysningene) skal det være rutiner for varsling til rette personer og myndigheter.

Hvis bedriften selv har ansvar for drifting av løsningen så har den ansvar for sikkerhetsrutiner som tilgangskontroll, oppdatering av programvare, eller andre tiltak som sikrer infrastruktur og systemer.

Har bedriften en avtale med en leverandør om å drifte løsningen eller har kjøpt en løsning (som Karriere.no) for å håndtere personopplysninger må det inngås en avtale som regulerer ansvaret mellom bedriften og leverandøren (databehandlingsavtale).

Dokumentasjon og ansvar
Bedriften må dokumentere hvordan de behandler personopplysninger og tilfredsstiller GDPR. Dette kalles også en personvernerklæring og personvern-system. Det som må gjøres er å lage en oppstilling av følgende:
  • Hvordan, og fra hvor, blir personopplysninger innhentet

  • Hvordan blir samtykke innhentet

  • Hvilke personopplysninger er lagret, og hvor er de lagret (elektronisk og fysisk)

  • Datasikkerhet for egne løsninger og avtale med leverandører (databehandlingsavtale)

  • Hvordan varsler bedriften om brudd på rutiner eller data på avveie
    (OBS! Datatilsynet skal ha varsel innen 72 timer)

Rekruttering og GDPR
Basert på de generelle retningslinjene i forordningen vil vi trekke frem følgende momenter.

Samtykke fra kandidaten
Ved innlevering av CV og/eller søknad skal kandidaten samtykke til at opplysningene kan brukes i rekrutteringsprosessen.Kandidaten skal forstå hva de gir samtykke til og hvordan de skal gå frem for å få innsyn eller sine opplysninger slettet.

Innsyn i CV/søknader
Det skal være begrenset innsyn i opplysninger som er innsamlet om kandidaten. Det er kun de som trenger tilgang som skal ha tilgang. Dette gjelder også om man ønsker å dele informasjonen internt i bedriften. Det skal være mulig å holde orden på hvem som har hatt tilgang til opplysningene.

Kandidaten har rett til innsyn og bli “glemt”
Kandidaten kan kreve innsyn i hvilken informasjon bedriften har lagret om personen, i tillegg til CV og søknad gjelder dette også notater som er gjort. Eller hvis det er innhentet opplysninger fra andre steder eller registre. Husk; dette gjelder både elektronisk (systemer, epost, etc) og fysisk (utskrifter, notater, etc).

Hvis kandidaten ønsker å få sine data slettet skal bedriften kunne gjøre dette, dokumentere at dette er gjort, og ha rutiner for å sikre at dette kan etterprøves.

Lagring av opplysninger
Bedriften er ansvarlig for at opplysninger ikke kommer på avveie, og ha rutiner for hvem og hvordan det skal varsles om det skjer avvik.Det skal også være rutiner for hvor lenge opplysninger skal lagres, og rutiner for sletting av data.

Hva gjør Karriere.no for deg som kunde/bruker?
Etter innføring av GDPR vil det være viktig for enhver bedrift å kunne tilfredsstille kravene i forordningen. Karriere.no leverer en løsning for rekruttering og spredning av jobbannonser. Vi er pliktet til å oppfylle kravene i GDPR.  

Samtykke fra kandidaten
Når kandidater oppretter en profil på karriere.no gir de samtykke via brukervilkårene til at informasjon de gir fra seg kan benyttes til formålet med tjenesten. Hvis de sender inn et HINT og gir fra seg opplysninger i sin CV, eller sender inn en søknad, så er det med et samtykke om at opplysningene kan brukes av bedriften i rekrutteringsprosessen og hvordan går frem for å få innsyn i sine personopplysninger eller få de slettet.

Innsyn i CV/søknader
Bedriften i karriere.no har oversikt over hvilke personer som har tilgang til hvilke søknader, og tilganger kan endres og fjernes. For at informasjon skal komme på avveie (i epost, fysiske notater el.l.) oppfordrer vi bedriftene til å bruke karriere.no i hele prosessen. Dette sikrer muligheten for innsyn og sletting av data for kandidaten.

Kandidaten har rett til innsyn og bli “glemt”
Har kandidaten sendt sin søknad via karriere.no, og bedriften har brukt løsningen i rekrutteringsprosessen (interne notater, status og meldinger), er det enkelt for bedriften å gi kandidaten innsyn. Dokumenter i interne notater hvilke eksterne opplysninger som innhentet i prosessen. OBS! Bedriften må ha rutiner for makulering av fysiske notater slik at man er sikre på at disse ikke kommer på avveie.

Kandidater kan selv slette søknader og HINT som er sendt bedriften. Hvis bedriften har brukt systemet slik vi anbefaler vil dette sikre kandidatens rett til å bli “glemt”. Sletting av søknader må vi gå igjennom, det ser ikke ut som det fungere i dag og vi må se på hvordan det skal fungere. >

Håndtering av tilganger til søknader og HINT. Distribuert tilgang som sikre at det er kontroll. Logging av opplysninger på søknader, profiler og HINT.

Lagring av opplysninger
Bedrifter som bruker karriere.no har i avtalen også en databehandlingsavtale med Karriere.no. Denne avtalen sikrer bedriften av Karriere.no tar ansvar for sikkerheten i tilgang til data og lagring av data. Ved avvik fra sikkerheten i selve systemet er det Karriere.no som har ansvar for rutiner og varslig til rette myndigheter.

Nyttig informasjon fra datatilsynet
Hva betyr de nye personvernreglene for din virksomhet?
Virksomhetens ansvar etter nytt regelverk
Databehandleravtale
Samtykke
En uoffisiell oversettelse av forordningen fra datatilsynet
Ønsker du mer informasjon om Karriere.no og våre løsninger?