Med høy turnover, strenge krav til mannskapslister og utstrakt bruk av teknologi, er personvern på byggeplassen et avgjørende tema for alle i byggebransjen.
Med strengere krav og utstrakt bruk av teknologi, er det viktig for byggebransjen å ha kontroll på personvern
Personvern på byggeplassen er et tema som mange tenker lite på, men som har stor betydning for både byggherre og underleverandører. I en bransje med høy turnover, strenge krav til mannskapslister og utstrakt bruk av teknologi, er det avgjørende å ha kontroll.
Her er en praktisk guide til GDPR, bygget for deg som jobber i bygg og anlegg.
Personvern handler om tillit. Før vi dykker ned i lovverket, er det viktig å forstå hvorfor dette er så viktig. Personvern er ikke bare en plikt; det er en del av den helhetlige HMS-kulturen på et prosjekt. Det handler om å bygge tillit, både hos egne ansatte og hos underleverandører. Ved å vise at du tar personvern på alvor, demonstrerer du at du er en profesjonell og seriøs aktør. Det er et konkurransefortrinn, og det er en grunnstein i god HMS.
På byggeplassen samler vi inn en rekke personopplysninger, ofte uten å tenke over det. Det kan være mannskapslister, HMS-kortnummer, kameraovervåking eller GPS-data fra firmabiler. Hver av disse opplysningene må behandles i henhold til lovverket.
Her er noen av de viktigste punktene du må ha kontroll på:
Hvorfor samler du inn personopplysninger?
Det første spørsmålet du må stille deg, er hvorfor du samler inn data. GDPR (General Data Protection Regulation) krever at du har et gyldig behandlingsgrunnlag for hver eneste personopplysning du lagrer. I bygg- og anleggsbransjen er de vanligste grunnlagene:
- Lovpålagt: Dette er den mest relevante grunnen for deg som jobber på byggeplass. For eksempel er det et lovkrav å føre elektroniske mannskapslister. Da har du rett til å samle inn nødvendige data som navn, fødselsdato og HMS-kortnummer.
- Berettiget interesse: Dette er ofte begrunnelsen for kameraovervåking. Bedriften har en legitim interesse av å sikre byggeplassen mot tyveri og hærverk. Men, din interesse må veies opp mot den enkeltes rett til personvern, og du må kunne bevise at overvåkingen er nødvendig og ikke mer inngripende enn den må være.
Hvordan bruker du informasjonen?
Når du har et behandlingsgrunnlag på plass, må du behandle opplysningene riktig. Vær åpen om hvordan du bruker dataene. Hvis du setter opp kameraer, må det være tydelig skiltet. Du kan ikke bruke opptak fra et overvåkningskamera – som har til formål å avdekke hærverk – til å overvåke ansattes arbeidstid. Formålet med datainnsamlingen må være klart, og du må ikke bruke dataene til noe annet.
Sensitive personopplysninger
Vær ekstra varsom med sensitive data. I bygg og anlegg er dette typisk helseopplysninger, for eksempel sykemeldinger, og biometriske data som fingeravtrykk eller ansiktsgjenkjenning.
- Helseopplysninger: Disse skal alltid behandles med den høyeste grad av sikkerhet og taushetsplikt. De skal lagres på en måte som forhindrer innsyn, for eksempel i systemer med særskilt tilgangskontroll.
- Biometri: Bruk av fingeravtrykk for adgangskontroll eller pålogging er et alvorlig inngrep i personvernet og er i utgangspunktet forbudt. Det finnes unntak dersom du kan dokumentere at det er strengt nødvendig og har et klart formål (for eksempel for å beskytte liv og helse), men dette krever en grundig vurdering og risikovurdering (DPIA).
Sikkerhet og oppbevaring
Dette punktet er kritisk. Du har et overordnet ansvar for at dataene ikke kommer på avveie.
- Lagring: Manne- og påmeldingslister skal ikke lagres lenger enn nødvendig. Lovverket krever lagring i seks måneder etter at et prosjekt er avsluttet. Etter dette skal dataene slettes. For kameraopptak er standarden ofte kortere – vanligvis rundt syv dager, med mindre det har skjedd en spesiell hendelse som krever lagring for etterforskning.
- Teknisk sikring: Sørg for at personopplysninger er beskyttet med sterke passord, to-faktor autentisering og kryptering. Mange moderne HMS-systemer som SmartDok har funksjoner for dette innebygd. Dette reduserer risikoen for brudd på personvernet og gjør det enklere å følge kravene til lagring og sletting.
Klare roller og ansvar
I et komplekst byggeprosjekt med flere underleverandører, er det avgjørende å ha klart definerte roller. Byggherren er i mange tilfeller den behandlingsansvarlige, som har det overordnede ansvaret for at personvernet blir ivaretatt. Dersom du bruker et system som HMSREG for å behandle mannskapslistene, er de en databehandler. Du må ha en skriftlig avtale (databehandleravtale) som spesifiserer hvilke data som behandles og hvordan de skal sikres.
Personvern på byggeplassen er ikke en byråkratisk utfordring, men en integrert del av god HMS. Ved å ha kontroll på mannskapslister, begrense unødvendig data og være bevisst på formålet med hver datainnsamling, bygger du et solid fundament for en trygg og profesjonell virksomhet. Det er et tegn på seriøsitet og et konkurransefortrinn som dine kunder og underleverandører vil verdsette.
Har du spørsmål om hvordan SmartDok kan bidra til å ivareta personvernet i praksis? Ta kontakt med oss!
