Få hjelp med personvernet!
GDPR står for General Data Protection Regulation. Denne er ment for å beskytte og ivareta opplysninger som bedrifter, foreninger, idrettslag, borettslag, organisasjoner og andre samler inn av personopplysninger og data. GDPR er virksomhetens ansvar for å ivareta personopplysninger om enkeltpersoner.
Det er viktig at man har et forhold til GDPR, og at man må være klar over hvilken risiko virksomheten utsettes for ved å ignorere lovkravene rundt personvernet. Det er Datatilsynet som agerer med sanksjoner og bøter dersom loven ikke overholdes.
Dokumentasjon krever ikke en dyr programvare, det er tilstrekkelig med tekstbehandlingsdokument, men man må sørge for at dokumentasjonen er elektronisk. Altså gjøres lett tilgjengelig ved en eventuell kontroll fra myndighetene.
» Det er virksomheter som har respekt for personvernet og lovverket som sørger for å ha dokumentasjon på plass.
Å ivareta personvernet er en del av kvalitetsarbeidet i virksomheten «
Her får du svar på det du trenger å vite om personvern i virksomheten
Hva er konsekvensene for ikke å følge lovverket om personvernet?
Først og fremst. Du bryter loven dersom lovverket ikke følges. Å ivareta personvernet handler først og fremst om trygghet og respekt for dine ansatte,
klienter og samarbeidspartnere. Du må som virksomhet sørge for at du ivaretar sikkerheten og informerer de du samler inn personopplysninger på.
Finnes det standard dokumentasjon for dokumentasjon av personvernet?
Nei, dessverre. Det er slik at den enkelte virksomhet må internt tilpasse personvernet og håndtering av personopplysninger.
Virksomheter samler inn ulike opplysninger om enkeltpersoner, basert på behov og årsak til at informasjon innhentes. Likeledes må også varslingsrutiner tilpasses virksomheten selv. Det er ikke mange aktører som leverer dokumentasjon rundt personvern, annet enn advokater, så det kan være lurt å kontakte en ekstern aktør som kan bidra virksomheten.
Hva er behandlingsgrunnlag?
Enkelt sagt så er behandlingsgrunnlag årsaken til hvorfor informasjon om personer innhentes, og hva de skal brukes til. Man må altså ha en rettslig grunn for å oppbevare opplysninger. Dette står beskrevet i artikkel 6 om GDPR. (Kilde: Lovdata).
Er jeg innenfor lovverket når jeg har personvernerklæring på hjemmesiden min?
Personvernerklæring på hjemmesiden er en god start, men er langt fra tilstrekkelig. En personvernerklæring er ikke godt nok når du må dokumentere rutiner rundt personvernet i virksomheten.
Skal ansatte også ha personvernerklæring?
Definitivt. Virksomheter oppbevarer ofte mye informasjon om den ansatte. Dette kan være opplysninger som er nødvendig i forbindelse med lønn, sykdom, referater fra medarbeidersamtaler og andre oppfølgingsmøter som for eksempel i forbindelse med prøvetid.
Personvernerklæringen tilpasses etter hvilken informasjon virksomheten innhenter fra den ansatte. Man må også huske på den ansatte må informeres dersom virksomheten deler ansattopplysninger med samarbeidspartnere. (Regnskapskontor, lønnssystem, programvare, IT konsulenter mv.)
Hva må jeg ha klart ved eventuell kontroll fra Datatilsynet?
Først og fremst vis at du tar personvernet på alvor, og at du jobber med informasjon og dokumentasjon.
Dokumentasjon er viktig å ha på plass for å redusere risikoen for at virksomheten bryter loven, unngår overtredelser, bøter og omdømmetap.
Hva er rettighetene til en person som vi oppbevarer opplysninger på?
Ved forespørsel, er virksomheten forpliktet til å gi fra seg all informasjon som er registrert på en person. Likeledes kan personer be om å bli slettet eller at informasjonen som oppbevares skal begrenses, endres eller overføres til andre virksomheter. Ved henvendelser fra personer, må du altså ha “ting på stell” i virksomheten. De som for eksempel skal ha innsyn i en personalmappe, må forholde seg til reglene i offentleglova og forvaltningsloven.
Det betyr at medarbeidere som ikke har saklig grunn til å se opplysningene, heller ikke skal ha tilgang.
Hva er et sikkerhetsbrudd?
Et sikkerhetsbrudd kan forekomme dersom:
– Virksomheten ikke har fullstendig oversikt over behandling av personopplysninger.
– Ikke autoriserte personer får tilgang til personopplysninger.
– At en ansatt bevisst, eller ubevisst, videresender informasjon som er av sensitiv art.
– At du eller en ansatt blir frastjålet, mister eller har forlagt en telefon, PC, minnepenn, ansattperm eller en klientperm som inneholder personopplysninger.
– Hackerangrep / dataangrep som gjør at opplysninger kommer på avveie. Hacking og svindel er svært utbredt blant små og mellomstore virksomheter.
– At det mangler databehandleravtale med regnskapskontoret, programvaretilbydere eller andre virksomheten benytter.
– Å kaste eller kvitte seg med personopplysninger uten at disse makuleres eller slettes.
Dersom et sikkerhetsbrudd oppstår er du som virksomhet pålagt å melde inn dette til Datatilsynet innen 72 timer.
Hva er Databehandleravtale?
Du som virksomhet, eller de som benytter virksomheter som behandler personopplysninger på vegne av deg, må opprette en databehandleravtale.
Dette kan være regnskapskontoret, IT leverandører, markedsføringsbyrå, programvaretilbydere og andre. Om ikke dine samarbeidspartnere har opprettet databehandleravtale, må dere som virksomhet etterspørre dette. De som direkte behandler opplysninger på vegne av andre er lovpålagt å sørge for at det foreligger en databehandleravtale.
Er E-post kommunikasjon en del av GDPR?
Absolutt. Epost er omfattet av GDPR. Dette kan være noe kompleks som for eksempel om epost blir hacket, så her bør virksomheten ha gode rutiner.
Hva gjør dere dersom epost med sensitiv informasjon forsvinner? Om du er usikker på hvordan du skal håndtere personopplysninger i e-post kommunikasjon, anbefales det at du tar kontakt med en juridisk person eller personvernrådgiver.
Hva er informasjonskapsler?
Stort sett alle moderne nettpubliseringsverktøy (hjemmesider) bruker informasjonskapsler (cookies) for å registrere innloggingsdetaljer, antall besøk på siden og hvordan man beveger seg på et nettsted. Svært mange bruker også informasjonskapsler fra Google Analytics, som er et verktøy som gir mer detaljert informasjon om brukermønstre på en hjemmeside. Besøkende på nettsiden din skal informeres om det benyttes informasjonskapsler.
Les mer om Ekomloven her.
En erklæring som framkommer på hjemmesiden, og som omhandler informasjonskapsler, er på langt nær tilstrekkelig for å informere klienter som besøker
hjemmesiden din. Du må i tillegg ha en egen personvernerklæring.
Vi har kameraovervåking i virksomheten, hvordan forholder vi oss til det?
Det kan være et legitimt behov for å ha kameraovervåking, som for eksempel å unngå innbrudd og tyverier for å sikre verdier. Samtidig så er det viktig å tenke på at arbeidstakere har rett til privatliv. Om en virksomhet vurderer å sette opp kamera på arbeidsplassen, er det nødvendig at man setter seg inn i regelverket og sørger for at kravene rundt kameraovervåking og lyd er oppfylt. Kravene SKAL være oppfylt før kameraovervåkingen settes i gang.
Om virksomheten allerede har kameraovervåking, så må man kontrollere om gjeldende krav følges, og at det informeres og dokumenteres i virksomheten.
Er varsling en del av personvernet?
Ja, absolutt. Varsling er lovregulert for virksomheter som har ansatte og innleid arbeidskraft.
Det skal derfor utarbeides egne rutiner for varsling i virksomheten. Ved forhold som er kritikkverdige på arbeidsplassen, som for eksempel brudd på personvernet, skal man varsle. Dette er regulert i lovverket.
Er det mye jobb for virksomheten min å overholde GDPR?
Jobben kan bli vesentlig større om du får tilsyn, sanksjoner og bøter for ikke å ha GDPR på stell. Det viktigste er at du etter beste evne forsøker å følge Datatilsynets føringer på hvordan man skal utøve best mulig personvern arbeid i virksomheten. Du finner råd og veiledning på Datatilsynets hjemmeside.
Det vil nok kreve en del tid dersom du selv skal gjøre alt arbeid med å få rutiner på plass. Erfaringsmessig vil jobben ta mellom 25-30 timer.
Føler du at det er vanskelig å begynne jobben med å få rutinene på plass , så benytt en ekstern aktør som bistår deg. Advokater eller en personvernrådgiver kan være greit å kontakte.
EU-forordningen om kunstig intelligens (Artificial Intelligence Act)
Kunstig intelligens (AI) er noe man forholde seg til i alle typer virksomheter. Nå innføres loven om AI Act også i Norge.
Det er viktig at man setter seg inn i den nye lovgivningen om AI Act. AI bør være en del av virksomhetens GDPR, og rutiner om bruk av AI bør være på plass
på lik linje som virksomhetens personvernpolicy.
Virksomheten må derfor sørge for å ha en plan rundt hvordan dere skal forholde dere til AI Act. Derfor bør det innføres rutiner allerede nå.
En framgangsmåte kan være å starte med å kartlegge hvordan dere har tenkt å benytte AI i bedriften.
Om så er tilfelle, må dere;
– kartlegge ledelsen og ansattes tekniske kompetanse.
– sørge for at ledelse og ansatte som skal benytte AI må defineres med rolle og navn.
– legge en plan for å innhente grundig kompetanse og forståelse av hva AI er.
– forstå regler, gi opplæring og definere hvordan AI skal brukes i virksomheten.
– definere hvilke verktøy rundt AI som skal benyttes og hvordan de skal brukes.
– sørge for å holde dere oppdatert på verktøy og kompetanse.
Bruk av AI i virksomheten må uansett dokumenteres, og det er ledelsen som har overordnet ansvar for at regler om AI overholdes.
Det er ulovlig å bruke AI løsninger som bryter europeiske rettigheter og verdier. Dersom regler ikke følges kan virksomheter få sanksjoner og høye bøter.
Virksomheten kan også helt velge bort bruk av AI. Virksomheten selv må avklare:
Vil bruk av AI være en del av virksomhetens policy framover? Hva skal vi bruke det til, og hvorfor?
Å velge bort bruk av AI, er noe som også må dokumenteres. (Dette avsnittet oppdateres).
Kilder og henvisninger:
Datatilsynet
Lovdata
Leder1p