– Det følger ofte strenge retningslinjer for bruk av PC-en du får gjennom jobb. Når det gjelder mobilen er det gjerne annerledes, selv om den i disse dager en liten datamaskin.
Det sier Kai Runar Bang, jurist i Sticos med personvern som hovedområde.
Ansattes bruk av jobbtelefonen kan i verste fall koste arbeidsgiver dyrt, dersom virksomheten håndterer sensitive personopplysninger.
Arbeidsgiveren er nemlig ansvarlig hvis disse opplysningene spres til en tredjepart gjennom for eksempel nedlastning av apper.
Mange apper kan skape problemer
Og det er fort gjort at slike personopplysninger kommer på avveie dersom du ikke er bevisst, forklarer Bang:
– De fleste appene du laster ned ber om tilgang til bildene, filene og kontaktlisten. Hvis det er snakk om apper for kommunikasjon, vil de sannsynligvis be om tekstmeldingene i tillegg.
Han nevner også apper med tastatur som spår hva du skal skrive, såkalt autokorrektur.
Ingen norske bedrifter har så langt fått gebyr basert på GDPR. – Det kommer utvilsomt bøter etter hvert, sier jurist Kai Runar Bang.
Foto: Kirsti Kringstad / NRK– Disse krever gjerne tilgang til tekstmeldinger, e-poster og Facebook-innlegg. For enkelte virksomheter, som for eksempel en psykologpraksis, kan det ligge sensitive opplysninger her. Da er det helt klart lovbrudd å utlevere dem.
Bang snakker om brudd på GDPR.
Regelverket skal sikre at enkeltpersoner har kontroll på egne personverndata. Hver enkelt av oss skal simpelthen bestemme hvilken informasjon profesjonelle aktører lagrer om oss.
GDPR omfatter alle EU- og EØS-land, og ble innført i Norge 20. juli.
– Hvis jeg på jobbtelefonen lagrer navnet og nummeret til en person jeg har et forhold til gjennom jobb, er det ingenting i avtalen som sier at virksomheten kan gi kontaktopplysningene videre.
Datatilsynet anbefaler risikovurdering
Bedriften kan få overtredelsesgebyr dersom Datatilsynet får greie på at sensitive personopplysninger er spredd.
– Virksomheten må vurdere konsekvensene av ethvert tiltak som kan medføre risiko for personopplysningsvernet, hvis dette tiltaket innebærer behandling av personopplysninger, fastslår Jørgen Skorstad, avdelingsdirektør i Datatilsynet.
Skorstad ber alle virksomheter som håndterer sensitive personopplysninger om å gjennomføre risikovurdering.
– Man må naturligvis også imøtekomme de andre relevante kravene som GDPR stiller til behandling av personopplysninger, påpeker han.
4 måter å unngå lovbrudd med jobbtelefonen
Også jurist Kai Runar Bang understreker hvor viktig det er at bedrifter gjennomfører risikovurdering.
– Alle virksomheter må ta ei risikovurdering for å finne ut om de kan leve med dette, eller om de må iverksette tiltak. Min påstand er nok at de aller fleste virksomheter må iverksette tiltak, sannsynligvis i form av retningslinjer for hva som er ok å installere på telefonen.
I tillegg har han flere konkrete forslag til hvordan virksomheter kan unngå å bryte GDPR-trøbbel med ansattes jobbtelefon:
- Nekte ansatte å installere enkelte apper.
- La IT-avdelingen styre og godkjenne appene som lastes ned.
- Gi ansatte en telefon dedikert til jobb.
- Installere programvare som skiller mellom jobb og privatliv på samme telefon.
Hittil har ingen norske virksomheter fått gebyr basert på det nye regelverket.
– Det kommer utvilsomt bøter etter hvert. Det gamle regelverket baserte seg i stor grad om avskrekking i andre europeiske land, men nå skal alle land ha lik praksis. Jeg er spent på hvilket nivå de havner på, sier Bang.
