Her får du svar på det du trenger å vite om personvern
Personvern må overholdes i alle typer virksomheter
GDPR står for General Data Protection Regulation. Denne er ment for å beskytte og ivareta opplysninger som alle typer virksomheter samler inn av personopplysninger. Det er viktig at man har et forhold til GDPR, og at man må være klar over hvilken risiko virksomheten utsettes for ved å ignorere lovkravene rundt personvern. Man må sørge for at dokumentasjonen er elektronisk og gjøres tilgjengelig ved en eventuell kontroll fra myndighetene.
Hva er konsekvensene for ikke å følge lovverket om personvernet?
Først og fremst, du bryter loven dersom lovverket ikke følges. Å ivareta personvernet handler først og fremst om trygghet og respekt for ansatte,
klienter og samarbeidspartnere. Du må som virksomhet sørge for at du ivaretar sikkerheten og informere de du samler inn personopplysninger på.
Finnes det standard dokumentasjon for å dokumentere personvernet?
Nei, dessverre. Det er slik at den enkelte virksomhet må internt håndtere dokumentasjon av personopplysninger.
Virksomheter samler inn ulike opplysninger om enkeltpersoner, basert på behov og årsak til at informasjon innhentes.
Likeledes må også lovpålagte varslingsrutiner tilpasses virksomheten selv.
Er det mye jobb for virksomheten min å overholde GDPR?
Jobben kan bli vesentlig større om du får tilsyn, sanksjoner og bøter for ikke å ha personvernet på stell. Det viktigste er at du etter beste evne forsøker å følge Datatilsynets føringer på hvordan man skal utøve personvernarbeidet i virksomheten. Virksomheter som ønsker å utføre dokumentasjonen selv, må påregne 30-40 timers arbeid. Det kan altså kreve noe tid, ressurser og mulig tapte arbeidsinntekter.
Føler du at det er vanskelig å begynne jobben, så benytt en ekstern aktør som bistår deg. Advokater eller en personvernrådgiver hjelper deg.
Hva er behandlingsansvarlig og behandlingsgrunnlag?
Normalt er en i ledelsen i virksomheten behandlingsansvarlig. Enkelt sagt så er behandlingsgrunnlag årsaken til hvorfor informasjon om personer innhentes, og hva opplysningene skal brukes til. Man må altså ha en grunn for å oppbevare personopplysninger. Dette står beskrevet i artikkel 6 om GDPR.
Er jeg innenfor lovverket når jeg har personvernerklæring på hjemmesiden min?
Personvernerklæring på hjemmesiden er en god start, men er ikke tilstrekkelig.
Skal ansatte også ha personvernerklæring?
Definitivt. Virksomheter oppbevarer ofte mye informasjon om den ansatte. Dette kan være opplysninger som er nødvendig i forbindelse med lønn, sykdom og referater fra medarbeidersamtaler. Personvernerklæringen tilpasses etter hvilken informasjon virksomheten innhenter fra den ansatte.
Man må også huske på den ansatte må informeres dersom virksomheten deler ansattopplysninger med samarbeidspartnere.
(Regnskapskontor, lønnssystem, programvare, IT konsulenter mv.)
Hva må jeg ha klart ved eventuell kontroll fra Datatilsynet?
Først og fremst vis at du tar personvernet på alvor, og at du jobber med informasjon og dokumentasjon.
Dokumentasjon er viktig å ha på plass for å redusere risikoen for at virksomheten bryter loven, unngår overtredelser, bøter og omdømmetap.
Hva er rettighetene til en person som vi oppbevarer opplysninger på?
Ved forespørsel, er virksomheten forpliktet til å gi fra seg all informasjon som er registrert på en person. Likeledes kan en person be om å bli slettet, begrenses, endres eller overføres til andre virksomheter. Ved henvendelser fra personer, må du altså ha “ting på stell” i virksomheten.
De som skal ha innsyn i en personalmappe, må forholde seg til reglene i offentleglova og forvaltningsloven.
Det betyr at medarbeidere som ikke har saklig grunn til å se opplysningene, heller ikke skal ha tilgang.
Hva er et sikkerhetsbrudd?
Et sikkerhetsbrudd kan forekomme dersom:
Virksomheten ikke har fullstendig oversikt over behandling av personopplysninger.
Ikke autoriserte personer får tilgang til personopplysninger.
At en ansatt bevisst, eller ubevisst, videresender informasjon som er av sensitiv art.
At du eller en ansatt blir frastjålet, mister eller har forlagt en telefon, PC eller en minnepenn som inneholder personopplysninger.
Hackerangrep / dataangrep som gjør at opplysninger kommer på avveie. Hacking og svindel er svært utbredt blant små og mellomstore virksomheter.
At det mangler databehandleravtale med regnskapskontoret, programvaretilbydere eller andre virksomheten benytter eksternt.
Å kaste eller kvitte seg med personopplysninger uten at disse makuleres eller slettes.
Hva er Databehandleravtale?
Den som behandler personopplysninger på vegne av noen, må opprette en databehandleravtale.
Dette kan være regnskapskontoret, IT leverandører, markedsføringsbyrå, programvaretilbydere og andre. Om ikke dine samarbeidspartnere har opprettet databehandleravtale, må dere som virksomhet etterspørre dette. De som direkte behandler opplysninger på vegne av andre er lovpålagt å sørge for at det foreligger en databehandleravtale. Generelt så anbefales det å legge inn rutiner mot leverandører og samarbeidspartnere rundt oppfølging av GDPR.
Er E-post kommunikasjon en del av GDPR?
Absolutt. Epost er omfattet av GDPR. Dette kan være noe kompleks. Om epost blir hacket, så her bør virksomheten ha gode rutiner.
Hva gjør dere dersom epost med sensitiv informasjon forsvinner? Om du er usikker på hvordan du skal håndtere personopplysninger i e-post kommunikasjon, anbefales det at du tar kontakt med en juridisk person eller en personvernrådgiver.
Hva er informasjonskapsler?
Stort sett alle moderne nettpubliseringsverktøy bruker informasjonskapsler for å registrere innloggingsdetaljer, besøk på siden og hvordan man beveger seg på et nettsted. Svært mange bruker også informasjonskapsler fra Google Analytics som gir detaljert informasjon om brukermønstre på en hjemmeside. Besøkende på nettsiden din skal informeres om det benyttes informasjonskapsler. Les mer om Ekomloven her.
En erklæring som framkommer på hjemmesiden, og som omhandler informasjonskapsler, er ikke tilstrekkelig for å informere klienter som besøker hjemmesiden din. Du må i tillegg ha en egen personvernerklæring.
Vi har kameraovervåking i virksomheten, hvordan forholder vi oss til det?
Det kan være et legitimt behov for å ha kameraovervåking, som for eksempel å unngå innbrudd og tyverier for å sikre verdier. Samtidig så er det viktig å tenke på at arbeidstakere har rett til privatliv. Om en virksomhet vurderer å sette opp kamera på arbeidsplassen, er det nødvendig at man sørger for at kravene rundt kameraovervåking er oppfylt. Kravene SKAL være oppfylt før kameraovervåkingen settes i gang.
Om virksomheten allerede har kameraovervåking må man kontrollere om gjeldende krav følges, og at det informeres og dokumenteres i virksomheten.
Er varsling en del av personvernet?
Ja, absolutt. Varsling er lovregulert for virksomheter som har ansatte og innleid arbeidskraft.
Det skal utarbeides egne rutiner for varsling i virksomheten. Ved forhold som er kritikkverdige på arbeidsplassen, som brudd på personvernet, skal man varsle. Dette er regulert i lovverket.
Henger KI loven og loven om personvern sammen?
Ja, KI-loven og personvern henger sammen fordi personvern er regulert av lovverket. Kunstig intelligens er noe man forholde seg til i alle typer virksomheter.
KI – loven bør være en del av virksomhetens GDPR, og rutiner om bruk av KI bør være på plass på lik linje som virksomhetens personvernpolicy.
Virksomheten må derfor sørge for å ha en plan rundt hvordan dere skal forholde dere til loven. En framgangsmåte kan være å starte med å kartlegge hvordan dere har tenkt å benytte KI bedriften. Bruk av KI i må uansett dokumenteres, og det er ledelsen som har overordnet ansvar for at regelverket overholdes. Dersom regler ikke følges kan virksomheter få sanksjoner og høye bøter.
Kilder og henvisninger: Datatilsynet, Lovdata, Leder1