Få på plass GDPR dokumentasjon i virksomheten!

GDPR står for General Data Protection Regulation. Denne er ment for å beskytte og ivareta opplysninger som bedrifter, foreninger, idrettslag, borettslag, organisasjoner og andre samler inn av personopplysninger og data.

Det er viktig at man har et forhold til GDPR, internt og eksternt, og at man må være klar over hvilken risiko virksomheten utsettes for ved å ignorere lovkravene rundt personvernordningen. Det er Datatilsynet som agerer med sanksjoner og bøter dersom loven om personvern ikke overholdes. 
Man må også tenke på omdømme og tillit hos dine ansatte, kunder, leverandører og øvrige samarbeidspartnere om personopplysninger kommer på avveie.

Få virksomheter har minstekravene rundt GDPR på plass i dag, og det forventes at håndhevelsen av lovverket øker fremover.

Dokumentasjon krever ikke en dyr programvare, det er tilstrekkelig med tekstbehandlingsdokument og regneark, men man må sørge for at dokumentasjonen er skriftlig og elektronisk. Altså gjøres lett tilgjengelig ved en eventuell kontroll fra myndighetene.  

Les om vår tjeneste tilknyttet GDPR  ⇒ Les artikkel om GDPR 


Spørsmål og svar om GDPR

Er GDPR pålagt i alle virksomheter?

Ja, så lenge virksomheten, “stor eller liten”, behandler og oppbevarer personopplysninger på klienter, ansatte, medlemmer og andre, så er man pålagt å følge loven om personvern og dokumentasjonskravene. Det er knapt mulig å drive en virksomhet uten å behandle personopplysninger, så dette gjelder praktisk talt alle.

Er jeg innenfor lovverket når jeg har personvernerklæring på hjemmesiden min?

Personvernerklæring på hjemmesiden er en god start, men er langt fra tilstrekkelig. Du bør unngå å bruke personvernerklæring du finner gratis på nett, kopierer fra andre eller er standard i hjemmesideløsningen. Personvernerklæringen  til en hver tid tilpasses den enkelte virksomhet.

Hva  må jeg ha klart ved eventuell kontroll fra Datatilsynet?

Først og fremst; vise fram at du jobber med dokumentasjon. Dokumentasjon er det første Datatilsynet ber om – og gjennomgår ved et tilsyn i virksomheten. Dokumentasjonen er viktig å ha på plass for å redusere risikoen for at virksomheten bryter loven og unngår overtredelser, bøter og omdømmetap.

Kan min virksomhet bli klaget inn til Datatilsynet  om jeg ikke har GDPR på plass?

Ja, virksomheten kan bli klaget inn til Datatilsynet. Først og fremst så er det viktig å nevne at det er lovpålagt å innføre GDPR i virksomheten slik at du viser overfor ansatte, klienter og andre at du ivaretar deres sikkerhet i forbindelse med personvern.
Dette kan du ikke som virksomhet unnlate å gjøre, og man må selvsagt sørge for at man ikke blir klaget inn til Datatilsynet.

Hva er rettighetene til en person som vi oppbevarer opplysninger på?

Med GDPR lovgivningen har personer vesentlige rettigheter. Ved forespørsel, er virksomheten forpliktet til å gi fra seg all informasjon som er registrert på en person. Dette er personens innsynsrett. Likeledes kan personer be om å bli slettet eller at informasjonen som oppbevares skal begrenses, endres eller overføres til andre virksomheter. Ved henvendelser fra personer, så må du altså ha “ting på stell” i virksomheten. De som skal ha innsyn i en personalmappe i virksomheten, må forholde seg til reglene i offentleglova og forvaltningsloven.
Det betyr at medarbeidere som ikke har saklig grunn til å se opplysningene, heller ikke skal ha tilgang.  Virksomheten må dedikere personer som skal ha tilgang til opplysninger om ansatte.

Er det behov for personvernombud i virksomheten? 

Flere offentlige myndigheter og organer er pålagt å opprette eget personvernombud. I tillegg er også mange virksomheter pålagt å ha eget ombud, dersom det behandles svært sensitive personopplysninger. Det anbefales fra Datatilsynet at alle virksomheter oppretter eget personvernombud. Flere og flere virksomheter benytter seg også av ekstern personvernrådgiver.
Ved å benytte en ekstern personvernrådgiver får dere kontroll med GDPR, samtidig som det frigir ressurser og ikke minst tid.

Trenger jeg GDPR når jeg ikke har hjemmeside? 

JA, selv om du ikke har hjemmeside i virksomheten, har du et ansvar så fremt du behandler personopplysninger på klienter, medlemmer, ansatte og andre. Hjemmesiden er en av kanalene man må benytte for å opplyse om personvernet, for eksempel mot klienter og andre som henvender seg via en hjemmeside. Har du ikke egen hjemmeside, så må opplysninger om personvernet til klienter og andre som henvender seg til virksomheten framkomme på annen måte. Kort sagt; om du ikke har hjemmeside, så kan du ikke fraskrive deg ansvaret du har som virksomhet når det gjelder GDPR.

Trenger jeg GDPR når jeg tar vare på “bare noen få” personopplysninger?

JA, selv om du bare samler inn få personopplysninger må du uansett ha GDPR i virksomheten.
Man kan gjerne tenke at man som virksomhet oppbevarer lite opplysninger, men gjør du egentlig det? Behandler man opplysninger på ansatte, klienter og andre, så oppbevares det ofte mye sensitiv informasjon.

Hva er et sikkerhetsbrudd?

Et sikkerhetsbrudd kan forekomme dersom:

– Virksomheten ikke har fullstendig oversikt over behandling av personopplysninger.

– Ikke autoriserte personer får tilgang til personopplysninger.

– At en ansatt bevisst, eller ubevisst, videresender informasjon som er av sensitiv art.

– At du eller en ansatt blir frastjålet, mister eller har forlagt en telefon, PC, minnepenn, ansattperm eller en klientperm som inneholder personopplysninger.

– Hackerangrep / dataangrep som gjør at opplysninger kommer på avveie.

– At det mangler databehandleravtale.

– Å kaste eller kvitte seg med personopplysninger uten at disse makuleres eller slettes.

Dersom et sikkerhetsbrudd oppstår er du som virksomhet pålagt å melde inn dette til Datatilsynet innen 72 timer.  De fleste sikkerhetsbrudd som skjer, er utenfor kontroll for virksomheten selv.

Trenger jeg databehandleravtale?

Du som virksomhet, og som benytter virksomheter, som behandler personopplysninger på vegne av deg må opprette en databehandleravtale. (Dette kan være regnskapskontoret, IT leverandører og andre). Om ikke dine samarbeidspartnere har opprettet databehandleravtale med dere, så etterspør dette. De som direkte behandler opplysninger på vegne av andre er lovpålagt å sørge for at det foreligger en databehandleravtale.

Hva er cookies og informasjonskapsler?

Stort sett alle nettpubliseringsverktøy bruker cookies for å registrere innloggingsdetaljer, antall besøk på siden og hvordan man beveger seg på et nettsted. Svært mange bruker også cookies fra Google Analytics, som er et verktøy som gir mer detaljert informasjon om brukermønstre på en hjemmeside. Besøkende på nettsiden din skal informeres om det benyttes cookies. Les mer om Ekomloven her.

En erklæring som framkommer på hjemmesiden, og som omhandler cookies, er på langt nær tilstrekkelig for å informere klienter som besøker hjemmesiden din.

Hva er konsekvensene for ikke å følge lovverket om GDPR?

GDPR handler først og fremst om trygghet for dine ansatte, kunder og samarbeidspartnere. Deretter er det virksomhetens renomme og tillit som kan svekkes om ikke man har GDPR på stell. Det skal ikke være noen virksomheter som har “råd” til å unngå å ta GDPR på alvor. Ved brudd på regelverket så er det Datatilsynet som gir virksomheten sanksjoner og bøter. Ved grove brudd så kan bøtene bli store.
Det kan også påløpe erstatningsplikt for den som bryter loven og erstatning for “tort og svie”, samt økt kontroll fra myndighetene.

Er det mye jobb for virksomheten min å overholde GDPR?

Jobben kan bli vesentlig større om du får tilsyn og sanksjoner for ikke å ha GDPR på stell. Det viktigste er at du etter beste evne forsøker å følge Datatilsynets føringer på hvordan man skal utøve best mulig GDPR arbeid i virksomheten.