Er GDPR pålagt i alle virksomheter?

Ja, så fremt virksomheten, “stor eller liten”, behandler og oppbevarer personopplysninger på klienter, ansatte, medlemmer og andre, så er man pålagt å følge loven om personvern. Det er knapt mulig å drive en virksomhet uten å behandle personopplysninger, så dette gjelder praktisk talt alle.
Loven innebærer at virksomheten har en større informasjonsplikt, og ikke minst dokumentasjonsplikt når det gjelder å oppbevare personopplysninger. Datatilsynet krever rett og slett at du følger loven ved å dokumentere at den blir overholdt.

Hvilken dokumentasjon må jeg ha ved eventuell kontroll fra Datatilsynet?

Først og fremst; dokumentasjon er det første Datatilsynet ber om – og gjennomgår ved et tilsyn i virksomheten. Dokumentasjonen er viktig å ha på plass for å redusere risikoen for at virksomheten bryter loven og unngår overtredelser, bøter og omdømmetap.  Du må sørge for at virksomheten har tilstrekkelig dokumentasjon, og verktøy i form av for eksempel erklæringer og internkontrollsystem/protokoll som kan framvises ved kontroll eller etterspørsel.

Kan min virksomhet bli klaget inn til Datatilsynet  om jeg ikke har GDPR?

Ja, virksomheten kan bli klaget inn til Datatilsynet. Først og fremst så er det viktig å nevne at det er lovpålagt å innføre GDPR i virksomheten slik at du viser overfor ansatte, klienter og andre at du ivaretar deres sikkerhet i forbindelse med personvern. Dette kan du ikke som virksomhet unnlate å gjøre, og man må selvsagt sørge for at man ikke blir klaget inn til Datatilsynet og bli påført sanksjoner. Det handler altså om å følge lovverket.
Ved brudd på loven om personvernet, så kan både klienter, samarbeidspartnere, ansatte og andre klage virksomheten inn til Datatilsynet.

Kan regnskapskontoret mitt ordne GDPR for meg?

Regnskapskontor utfører normalt ikke leveranser av GDPR – dokumentasjon, så det er svært tvilsomt at de kan hjelpe deg. Regnskapskontor har selv sine forpliktelser med å overholde GDPR og personvernordningen på lik linje med andre virksomheter. I tillegg behandler også regnskapskontor opplysninger på vegne av andre. I den forbindelse må de sørge for å benytte databehandleravtaler på sine EGNE klienter. Når det er sagt så kan du få god støtte fra advokater eller revisjonsselskaper, men dette kan ofte være dyrt. Du kan også benytte deg av eksternt personvernombud.

Hva er rettighetene til en person som vi oppbevarer opplysninger på?

Med den nye loven har personer vesentlige rettigheter. Ved forespørsel så er virksomheten for eksempel forpliktet til å gi fra seg all informasjon som er registrert på en person. Dette er personens innsynsrett. Likeledes kan personer be om å bli slettet eller at informasjonen som oppbevares skal begrenses, endres eller overføres til andre virksomheter. Ved henvendelser fra personer, så må du altså ha “ting på stell” i virksomheten.

Er det behov for personvernombud i virksomheten? 

Flere offentlige myndigheter og organer er pålagt å opprette eget personvernombud. I tillegg er også mange virksomheter pålagt å ha eget ombud, dersom det behandles svært sensitive personopplysninger. Det anbefales av Datatilsynet at alle virksomheter oppretter eget personvernombud.
Ved å benytte eksternt personvernombud,  får dere ytterligere kontroll med GDPR arbeidet i virksomheten, samtidig som det frigir ressurser og ikke minst tid.

Trenger jeg GDPR når jeg ikke har hjemmeside? 

JA, selv om du ikke har hjemmeside i virksomheten, har du et ansvar så fremt du behandler personopplysninger på klienter, medlemmer, ansatte og andre. Hjemmesiden er en av kanalene man må benytte for å opplyse om personvernet, for eksempel mot klienter og andre som henvender seg via en hjemmeside. Har du ikke egen hjemmeside, så må opplysninger om personvernet til klienter og andre som henvender seg til virksomheten framkomme på annen måte. Kort sagt; om du ikke har hjemmeside, så kan du ikke fraskrive deg ansvaret du har som virksomhet når det gjelder GDPR.

Trenger jeg GDPR når jeg tar vare på “bare noen få” personopplysninger?

JA, selv om du bare samler inn få personopplysninger må du uansett  ha GDPR i virksomheten.
Man kan gjerne tenke at man som virksomhet oppbevarer lite opplysninger, men gjør du egentlig det? Behandler man opplysninger på ansatte, klienter og andre, så oppbevares det ofte mye sensitiv informasjon.

Hva er et sikkerhetsbrudd?

Et sikkerhetsbrudd kan forekomme dersom:

– Virksomheten ikke har fullstendig oversikt over behandling av personopplysninger.

– Ikke autoriserte personer får tilgang til personopplysninger.

– At en ansatt bevisst, eller ubevisst, videresender informasjon som er av sensitiv art.

– At du eller en ansatt blir frastjålet, mister eller har forlagt en telefon, PC, minnepenn, ansattperm eller en klientperm som inneholder personopplysninger.

– Hackerangep / dataangrep som gjør at opplysninger kommer på avveie.

– At det mangler databehandleravtale.

– Å kaste eller kvitte seg med personopplysninger uten at disse makuleres eller slettes.

Dersom et sikkerhetsbrudd oppstår er du som virksomhet pålagt å melde inn dette til Datatilsynet innen 72 timer.  De fleste sikkerhetsbrudd som skjer, er utenfor kontroll for virksomheten selv. Det er derfor viktig å følge lovverket, og samtidig sørge for å ha gode rutiner og verktøy på plass innen GDPR og personvernordningen.

Trenger jeg databehandleravtale?

Du som virksomhet, og som benytter virksomheter som behandler personopplysninger på vegne av deg, må opprette en databehandleravtale fra de det gjelder. (Dette kan være regnskapskontoret, IT leverandører, programvareleverandører og andre).

Databehandleravtale trenger du som virksomhet dersom du på vegne av andre virksomheter behandler personopplysninger. Databehandleravtale kan f.eks benyttes for programvaretilbydere, IT leverandører, marked- og reklamebyrå, hjemmesideleverandører og regnskapskontor.
De som direkte behandler opplysninger på vegne av andre er lovpålagt å sørge for at det foreligger en databehandleravtale.

Er jeg innenfor lovverket når jeg har personvernerklæring på hjemmesiden min? 

Personvernerklæring på hjemmesiden er en god start, men er langt fra tilstrekkelig.
Det er også viktig å skille mellom personvern i forbindelse med Cookies og en personvernerklæring for innhenting og oppbevaring av personopplysninger.

Hva er cookies og informasjonskapsler?

Stort sett alle nettpubliseringsverktøy bruker cookies for å registrere innloggingsdetaljer, antall besøk på siden og hvordan man beveger seg på et nettsted. Den som står bak informasjonskapselen, altså den behandlingsansvarlige, kan tilpasse tjenestene sine ut fra informasjonen som lagres. Svært mange bruker også cookies fra Google Analytics, som er et verktøy som gir mer detaljert informasjon om brukermønstre på siden.

Besøkende på nettsiden din skal informeres om det benyttes cookies. Dataen som hentes gjennom cookies er som oftest anonymisert og benyttes kun til å avlese besøk på hjemmesiden. Cookies går under Ekomparagrafen. Les mer om Ekomloven her.

En erklæring som framkommer på hjemmesiden, og som omhandler cookies, er på langt nær tilstrekkelig for å informere klienter som besøker hjemmesiden din.
Du må i tillegg ha en ordinær personvernerklæring som sier konkret om hvilke opplysninger du innhenter for å opprette f.eks et kundeforhold, medlemskap og annet. Også generelle brukervilkår og betingelser må være adskilt fra den ordinære personvernerklæringen.

Hva gjør vi når vi behandler sensitiv informasjon gjennom hjemmesiden vår? 

Du kan gå inn på Datatilsynet sine sider for å lese isolert om det som går på sensitiv informasjon.
Dersom du har en nettside med innlogging (brukernavn og passord) eller benytter betalingsløsning så bør  SSL sertifikater installeres for å bedre sikkerheten.
Altså man krypterer data.

Hva er konsekvensene for ikke å følge lovverket om GDPR? 

GDPR handler først og fremst om trygghet for dine ansatte, kunder og samarbeidspartnere. Deretter er det virksomhetens renommè og tillit som kan svekkes om ikke man har GDPR på stell. Det skal ikke være noen  virksomheter som har “råd” til å unngå å ta GDPR på alvor. Ved brudd på regelverket så er det Datatilsynet som gir virksomheten sanksjoner og bøter på opptil 4% av den totale omsetningen. Ved grove brudd så kan bøtene bli vesentlig større. Det kan også påløpe erstatningsplikt for den som bryter loven og erstatning for “tort og svie”.

Er det mye jobb for virksomheten min å overholde GDPR?

Nei. Har du verktøyene du trenger for å få GDPR arbeidet på plass, så har du allerede kommet langt.
Jobben kan bli vesentlig større om du får tilsyn og sanksjoner for ikke å ha GDPR på stell. Det viktigste er at du etter beste evne forsøker å følge Datatilsynets føringer på hvordan man skal utøve best mulig GDPR – arbeid. Det finnes gode verktøy i markedet, samt god støtte fra advokater, revisjonsselskaper og andre aktører som hjelper deg å få dette på plass. Du kan i tillegg benytte eksternt personvernombud.

Hva kan dere bistå med? 

Vi er kjent med at veldig mange små og mellomstore virksomheter ennå ikke har dette på plass.  Da bryter man altså loven om personvern.
Ved bruk av våre dokumenter, erklæringer, veiledere og internkontroll så er du godt rustet for å ivareta personvernet.
Vi har tilrettelagt tjenesten slik at du på en enkel og forståelig måte håndterer GDPR i henhold til Datatilsynets føringer på hvordan GDPR skal utføres i virksomhete