Få på plass GDPR dokumentasjon i virksomheten!
GDPR står for General Data Protection Regulation. Denne er ment for å beskytte og ivareta opplysninger som bedrifter, foreninger, idrettslag, borettslag, organisasjoner og andre samler inn av personopplysninger og data.
Det er viktig at man har et forhold til GDPR, internt og eksternt, og at man må være klar over hvilken risiko virksomheten utsettes for ved å ignorere lovkravene rundt personvernordningen. Det er Datatilsynet som agerer med sanksjoner og bøter dersom loven om personvern ikke overholdes.
Man må også tenke på omdømme og tillit hos dine ansatte, kunder, leverandører og øvrige samarbeidspartnere om personopplysninger kommer på avveie.
Dokumentasjon krever ikke en dyr programvare, det er tilstrekkelig med tekstbehandlingsdokument og regneark, men man må sørge for at dokumentasjonen er skriftlig og elektronisk. Altså gjøres lett tilgjengelig ved en eventuell kontroll fra myndighetene.
Her får du svar på det du trenger å vite om GDPR i virksomheten
Hva er konsekvensene for ikke å følge lovverket om GDPR?
GDPR handler først og fremst om trygghet for dine ansatte, klienter og samarbeidspartnere.
Deretter er det virksomhetens renomme og tillit som kan svekkes om ikke man har GDPR på stell.
Du må som virksomhet sørge for at du ivaretar sikkerheten til de du samler inn personopplysninger på.
Det skal ikke være noen virksomheter som har “råd” til å unngå å ta GDPR på alvor.
Man skal også tenke på at man som virksomhet kan bli klaget inn til Datatilsynet om ikke lovverket overholdes.
Ved brudd på regelverket så er det Datatilsynet som gir virksomheten sanksjoner og bøter. Ved grove brudd så kan bøtene bli store.
Det kan også påløpe erstatningsplikt for den som bryter loven og erstatning for “tort og svie”, samt at man kan få økt kontroll fra myndighetene.
Selv om du oppbevarer begrenset info om personer, så må GDPR være på plass i virksomheten.
Hvilke fordeler har virksomheten med å dokumentere GDPR arbeidet?
Ved å dokumentere viser dere at virksomheten følger lovverket og gjør tiltak for å sikre personopplysninger.
Det medfører at personer kan føle seg trygge på virksomheten ivaretar GDPR på en forsvarlig måte.
Det bidrar også til å trygge virksomhetens renommè og tillit.
Samtidig er forebygging av mulige brudd på personvernet med på skalere ned risikoer, og minimalisere tiltak ved eventuelle hendelser.
Ikke minst så bidrar dokumentasjonen til å beskytte virksomheten mot mulige brudd, hvor konsekvensene kan bli store i form av bøter og sanksjoner.
Er jeg innenfor lovverket når jeg har personvernerklæring på hjemmesiden min?
Personvernerklæring på hjemmesiden er en god start, men er langt fra tilstrekkelig.
Du bør unngå å bruke personvernerklæring du finner gratis på nett, kopierer fra andre eller er standard i en hjemmesideløsning.
Personvernerklæringen MÅ altså til enhver tid være tilpasset den enkelte virksomhet.
Hva må jeg ha klart ved eventuell kontroll fra Datatilsynet?
Først og fremst; vis fram at du tar GDPR på alvor, og at du jobber med informasjon og dokumentasjon.
Dokumentasjon er viktig å ha på plass for å redusere risikoen for at virksomheten bryter loven, unngår overtredelser, bøter og omdømmetap.
Hva er rettighetene til en person som vi oppbevarer opplysninger på?
Ved forespørsel, er virksomheten forpliktet til å gi fra seg all informasjon som er registrert på en person. Dette er personens innsynsrett.
Likeledes kan personer be om å bli slettet eller at informasjonen som oppbevares skal begrenses, endres eller overføres til andre virksomheter.
Ved henvendelser fra personer, må du altså ha “ting på stell” i virksomheten.
De som for eksempel skal ha innsyn i en personalmappe, må forholde seg til reglene i offentleglova og forvaltningsloven.
Det betyr at medarbeidere som ikke har saklig grunn til å se opplysningene, heller ikke skal ha tilgang.
Virksomheten må dedikere personer som skal ha tilgang til opplysninger om ansatte.
Er det behov for personvernombud i virksomheten?
Flere offentlige myndigheter og organer er pålagt å opprette eget personvernombud.
I tillegg er også mange virksomheter pålagt å ha eget ombud, dersom det behandles svært sensitive personopplysninger.
Flere og flere virksomheter benytter seg også av ekstern personvernrådgiver.
Ved å benytte en ekstern personvernrådgiver får dere kontroll med GDPR, samtidig som det frigir ressurser og ikke minst tid.
Ellers skal det være en dedikert person fra virksomheten som må være behandlingsansvarlig for personopplysninger.
Trenger jeg GDPR når jeg ikke har hjemmeside?
JA, selv om du ikke har hjemmeside i virksomheten, har du et ansvar så fremt du behandler personopplysninger på klienter, medlemmer, ansatte og andre.
Har du ikke egen hjemmeside må opplysninger om personvernet til klienter og andre som henvender seg til virksomheten framkomme på annen måte.
Om du kun markedsfører deg gjennom ulike oppføringer, som anbudstjenester eller andre, så må du synliggjøre at personvernet ivaretas gjennom personvernerklæring der du annonserer.
Kort sagt; om du ikke har hjemmeside, så kan du ikke fraskrive deg ansvaret du har som virksomhet når det gjelder GDPR.
Trenger jeg GDPR når jeg tar vare på “bare noen få” personopplysninger?
JA, selv om du bare samler inn få personopplysninger må du uansett ha GDPR i virksomheten.
Man kan gjerne tenke at man som virksomhet oppbevarer lite opplysninger, men gjør du egentlig det?
Behandler man opplysninger på ansatte, klienter og andre, så oppbevares det ofte mye og gjerne sensitiv informasjon.
Hva er et sikkerhetsbrudd?
Et sikkerhetsbrudd kan forekomme dersom:
– Virksomheten ikke har fullstendig oversikt over behandling av personopplysninger.
– Ikke autoriserte personer får tilgang til personopplysninger.
– At en ansatt bevisst, eller ubevisst, videresender informasjon som er av sensitiv art.
– At du eller en ansatt blir frastjålet, mister eller har forlagt en telefon, PC, minnepenn, ansattperm eller en klientperm som inneholder personopplysninger.
– Hackerangrep / dataangrep som gjør at opplysninger kommer på avveie.
– At det mangler databehandleravtale med regnskapskontoret, programvaretilbydere eller andre virksomheten benytter.
– Å kaste eller kvitte seg med personopplysninger uten at disse makuleres eller slettes.
Dersom et sikkerhetsbrudd oppstår er du som virksomhet pålagt å melde inn dette til Datatilsynet innen 72 timer.
Trenger jeg databehandleravtale?
Du som virksomhet, eller de som benytter virksomheter som behandler personopplysninger på vegne av deg, må opprette en databehandleravtale.
(Dette kan være regnskapskontoret, IT leverandører og andre). Om ikke dine samarbeidspartnere har opprettet databehandleravtale med dere, s
å må dere etterspørre dette. De som direkte behandler opplysninger på vegne av andre er lovpålagt å sørge for at det foreligger en databehandleravtale.
Hva er cookies og informasjonskapsler?
Stort sett alle nettpubliseringsverktøy bruker cookies for å registrere innloggingsdetaljer, antall besøk på siden og hvordan man beveger seg på et nettsted. Svært mange bruker også cookies fra Google Analytics, som er et verktøy som gir mer detaljert informasjon om brukermønstre på en hjemmeside.
Besøkende på nettsiden din skal informeres om det benyttes cookies. Les mer om Ekomloven her.
En erklæring som framkommer på hjemmesiden, og som omhandler cookies, er på langt nær tilstrekkelig for å informere klienter som besøker
hjemmesiden din. Du må i tillegg også ha en egen personvernerklæring
Vi har kameraovervåking i virksomheten, hvordan forholder vi oss til det?
Det kan være et legitimt behov for å ha kameraovervåking, som for eksempel å unngå innbrudd og tyverier. Samtidig så er det viktig å tenke på at arbeidstakere har rett til privatliv. Om en virksomhet vurderer å sette opp kamera på arbeidsplassen, er det nødvendig at man setter seg inn i regelverket og sørger for at kravene rundt kameraovervåking og lyd er oppfylt.
Kravene SKAL være oppfylt før kameraovervåkingen settes i gang.
Om virksomheten allerede har kameraovervåking, så må man kontrollere om gjeldende krav følges, og at det informeres og dokumenteres i virksomheten.
Er varsling en del av GDPR – personvernet?
Ja, det kan man si. Varsling er lovregulert for virksomheter som har ansatte og innleid arbeidskraft.
Det skal derfor utarbeides egne rutiner for varsling i virksomheten. Ved forhold som er kritikkverdige på arbeidsplassen, som for eksempel brudd på personvernet, skal man varsle. Dette er regulert i lovverket.
Er det mye jobb for virksomheten min å overholde GDPR?
Jobben kan bli vesentlig større om du får tilsyn og sanksjoner for ikke å ha GDPR på stell. Det viktigste er at du etter beste evne forsøker å følge Datatilsynets føringer på hvordan man skal utøve best mulig GDPR arbeid i virksomheten.
Ordliste om GDPR – personvernordningen
GDPR:
GDPR står for General Data Protection Regulation, og er en europeisk forordning som ble innført i Norge fom sommeren 2018.
Behandling:
Behandling er begrepet som benyttes i sammenheng med å behandle personopplysninger.
Personopplysninger:
Er opplysninger om en privatperson som feks en virksomhet innehar.
Dette kan være navn, adresse, telefonnummer, epostadresse, fødselsnummer. Også bilder, en dynamisk ipadresse, fingeravtrykk, irismønster, adferdsmønster, hodeform, lydopptak og kameraovervåking kan også være personopplysninger.
Samtykkeerklæring:
Et samtykke er for eksempel ansatte i virksomheten signerer en samtykkeerklæring på at personopplysninger kan lagres.
Samtykke i forbindelse med kunder, medlemmer og andre kan være at det gis samtykke til at en virksomhet får godkjennelse til å motta epost, reklame osv.
Personvernerklæring:
Alle virksomheter skal framvise en personvernerklæring på for eksempel hjemmesiden sin.
Denne personvernerklæringen må tilpasses basert på hvilke opplysninger de innhenter på deg, hva de skal benyttes til osv.
Sensitive opplysninger:
Er for eksempel rase/etnisk bakgrunn, politisk, religion og filosofisk overbevisning og medlemskap.
Også helse og seksuelle forhold går under sensitive opplysninger om en person.
Personvernforordningen:
Det er personlovgivningen.
Behandlingsansvarlig:
Er en person som har dedikert ansvar for personopplysninger i virksomheten, organisasjonen, foreningen eller idrettslaget. En slik rolle kan også virksomhetens verneombud ha.
Et annet navn for denne rollen kan være personvernombud. Ombudet kan være eksternt. Man må være oppmerksom på at den som lager GDPR rutinene i virksomheten, kan ikke ta rollen som personvernombud. Behandlingsansvarlig skal sørge for å loggføre GDPR, samt loggføre øvrige i virksomheten som behandler personopplysninger.
Dataminimering
Er at du ikke skal ta vare på mer data enn du strengt talt trenger, og ikke oppbevare det lenger enn du trenger det.
Databehandler:
Er en aktør som behandler personopplysninger på vegne av deg. Dette kan være markedsføringsbyrå som sender ut reklame/nyhetsbrev på vegne av deg. Databehandler kan også være ansvarlig for programvare / skybaserte tjenester, som for eksempel regnskapskontoret.
Databehandleravtale:
Er en avtale som inngås mellom behandlingsansvarlig (virksomhet) og en aktør som behandler personopplysninger på vegne av deg.
Rettighetene for privatpersoner:
En privatperson har rettigheter og innsynsrett når det gjelder hva som er samlet inn av opplysninger fra en virksomhet. Dette er opplysninger som kan etterspørres av den enkelte, og virksomheten er normalt pliktig til å gi fra seg disse uten ugrunnet opphold senest en innen en måned, uten omkostninger og i et vanlig filformat. Personer kan også be om at feilopplysninger rettes, eller at opplysningene slettes. Det er personen selv som henvender seg til virksomheten for innsynsretten, retting av opplysninger eller sletting. Datatilsynet gir gratis tilgang til dokumentmaler for privatpersoner for henvendelser til virksomheter.
Dataportabilitet
Personer har rett til å få utlevert personopplysningene sine fra en virksomhet, og å lagre disse på en privat enhet til videre og personlig bruk. Dette betyr at personen også kan overføre personopplysninger fra en virksomhet til en annen.
Personvernrådgiver
Sørger for å gjennomføre minstekravene rundt dokumentasjonsplikten for GDPR. Utarbeider og klargjør alle dokumenter. En personvernrådgiver sørger for å gi råd, og holde ledelsen oppdatert rundt etterlevelsen av regelverket. Personvernrådgiver er den som fungerer som kontaktledd mot Datatilsynet, og andre, ved hendelser og eventuelle sikkerhetsbrudd.
Les mer om personvernrådgiver.