Nå kan arbeidsgiver nekte deg å laste ned apper på mobilen

Nå kan arbeidsgiver nekte deg å laste ned apper på mobilen

Svært mange arbeidstakere har en mobil som er betalt og eid av arbeidsgiver, som man også bruker privat. Det kan lett føre til GDPR-trøbbel.

Heidi Kultorp, kommunikasjon- og innholdsansvarlig i Sticos

- Mobilen er gjerne med oss hele døgnet, og det er normalt å laste ned apper på jobbtelefonen som brukes til private formål. Både konfidensielle opplysninger knyttet til virksomheten og egne opplysninger kan dermed bli formidlet uten at arbeidsgiver har kontroll på hvordan dette innholdet blir brukt videre av tredjepartsprogram, og nå er alle virksomheter underlagt et regelverk som setter klare grenser, sier jurist og personvernombud Kai Runar Bang i Sticos.

LES OGSÅ: Dette er de nye personvernreglene

Ber om tekstmeldingene dine

Bang viser til at mobilapper vil ha tilgang til både kontaktliste, bilder, kalender og stedsposisjon din, samt innholdet i tekstmeldinger og e-poster.

- Det er mer regelen enn unntaket. Appen Swiftkey ber for eksempel om tilgang til alle tekstmeldingene dine. Facebook ber om tilgang til kontaktlisten din. Og selv om du senere sletter kontakter på telefonen, vil Facebook fortsatt ha tilgang til hele lista.

- Enkelte apper eksisterer kun for å samle data om brukerne, legger han til.

Arbeidsgivers ansvar

EUs personvernforordning, også kalt GDPR, ble iverksatt i Norge 20. juli. Det nye regelverket forplikter arbeidsgiver å ivareta sensitive personopplysninger på en forsvarlig måte, og slike opplysninger skal kun behandles der det finnes et tydelig spesifisert formål.

Det gjelder også informasjon som deles fra mobiltelefonene til arbeidstakerne.

- Den nye personvernforordningen krever at virksomhetene i større grad enn tidligere selv må vurdere lovligheten av informasjonen de sitter på og deler med andre. Ansvaret ligger altså hos hver enkelt bedrift, understreker Bang.

Sticos har hjulpet over 120 norske virksomheter med å etterleve GDPR.

Kan forhindres

Med enkle grep kan arbeidsgiver løse utfordringene med at ansattes apper bryter med personvernforordningen.

- Løsningen kan være at arbeidsgiver kun tillater bestemte applikasjoner på jobbtelefonen. Da kan man for eksempel bruke Mobile Device Management (MDM). Denne programvaren krever at man gjør konkrete kartlegginger og risikovurderinger av hver enkelt applikasjon opp mot bedriftens retningslinjer før de gjøres tilgjengelig. Et annet alternativ er at ansatte legger igjen mobilen på jobb når arbeidsdagen er over, og at den ikke benyttes til privat bruk, sier sikkerhetsansvarlig Thomas Enoksen i Sticos.

- Slike tiltak vil ikke nødvendigvis bli populære blant ansatte. Men de fleste arbeidsgivere har rigide regler for hva arbeidstakerne kan laste ned på datamaskinen sin. Da er det naturlig å tenke at tilsvarende også bør gjelde for jobbtelefonen, hvert fall nå som alle virksomheter er pålagt å overholde nye EU-regler om personvern, sier Enoksen.

TRENGER DU PÅFYLL? Ta vårt nettkurs om GDPR 

Datatilsynet blir kontaktet

Datatilsynet understreker at personopplysninger som virksomheten er behandlingsansvarlig for, kan ansatte ikke bruke til andre formål enn det virksomheten har behandlingsgrunnlag for.

Datatilsynet opplyser de får henvendelser fra virksomheter som lurer på hvordan de skal regulere jobbtelefoner til ansatte.

- Når innsyn er tillat og hvordan arbeidsgiver i så fall skal gå frem, er regulert i en egen forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale. Forskriften må imidlertid praktiseres i lys av personvernforordningen, slik som personvernprinsippene og reglene om de registrertes rettigheter. Det er spesielt verdt å merke seg prinsippet om gjennomsiktighet og prinsippet om dataminimering. Det samme gjelder for retten til innsyn og informasjon, retten til å protestere, samt retten til å kreve personopplysninger slettet, opplyser Atle Årnes som er fagdirektør for teknologi i Datatilsynet til Sticos.

Han understreker viktigheten av at ansatte og virksomheten på forhånd må avklare håndteringen av mobiltelefoner som er eid av arbeidsgiver.

- På denne måten kan den ansatte selv da ta stilling til om det er å foretrekke å benytte virksomhetseid mobiltelefon privat. Det er lurt å benytte MDM for å skille mellom privat bruk av mobilen og virksomhetens bruk, sier Årnes.

På nettsidene til Datatilsynet ligger det mer informasjon om overvåking av ansattes mobiltelefon.

Sticos hjelper deg få en konkret GDPR-handlingsplan for din virksomhet på én dag med spillet Serious Game GDPR. Se mer her. 

Print

Navn:
E-post:
Emne:
Din melding:
x

Hold deg oppdatert

Motta aktuelle nyheter og relevant fagstoff på epost.

MELD PÅ NYHETSBREV

TEMA

Digital GDPR-compliance

Hva er GDPR

Personvernforordningen eller General Data Protection Regulation - forkortet GDPR - ble iverksatt 25. mai 2018 og erstattet det tidligere personverndirektivet. Reglene gir Datatilsynet muligheten til å gi opptil 20 millioner Euro i bot, eller enda mer for selskaper med stor global omsetning, til de som bryter loven. Mange virksomheter frykter dette og synes det virker omfattende, mye styr og at de kanskje får lite igjen for det. Det høye bøtenivået gjør at de fleste som ønsker å drive virksomhet innser at de må forholde seg til de nye reglene.

Bakgrunnen for forordningen er et ønske om å bedre enkeltpersoners mulighet for å kontrollere opplysninger registrert om dem selv. Personvern handler om retten til privatliv og retten til å bestemme over egne personopplysninger. Personvern skal sikre behandlingen av personopplysninger, slik at individers integritet og privatliv ikke krenkes.

Her kan du lese mer om hvorfor personvern er viktig for din virksomhet