Personvern

Det første du må gjøre for å overholde personvernregelverket, er å skaffe deg oversikt over hvilke personopplysninger bedriften samler inn, bruker og behandler.

Oversikten må gjøre det klart hvilke personopplysninger det gjelder. Du må kartlegge hva du lagrer av personopplysninger om dine ansatte og dine kunder, eventuelt også elever, pasienter eller medlemmer.

Les mer på Datatilsynets nettsider

Du kan bare behandle personopplysninger i tilfeller hvor det er lovlig.

Et av de lovlige grunnlagene for behandling er der behandling er nødvendig for å oppfylle en avtale, f.eks. oppfyllelse av kjøpsavtalen med en kunde eller arbeidsavtalen med en ansatt. Grunnlaget kan også være en rettslig forpliktelse, herunder forpliktelser etter regnskaps- og bokføringsloven eller rapportering til skattemyndigheter eller NAV. Grunnlaget kan også være at det er avgitt et samtykke til en spesifikk behandling, som f.eks. samtykke til å bli kontaktet med direkte markedsføring.

I hverdagen betyr dette normalt at du bare samler inn personopplysninger som er nødvendige for at virksomheten kan oppfylle en avtale, eller at de du samler inn opplysninger om har gitt sitt samtykke til bruk av disse opplysningene til bestemte formål.

Du som behandler personopplysninger må tydelig formidle til de det gjelder hvordan bedriften samler inn denne informasjonen, og hvordan dere behandler personopplysninger. I tillegg skal du gjøre informasjonen lett tilgjengelig for den du samler opplysninger om.

Opplysningene om behandlingen av personopplysninger skal du gi på en forståelig og enkel måte.

Hva må personvernerklæringen inneholde? Se oversikt på datatilsynet.no

Virksomheten må ha rutiner for internkontroll, som sikrer at du oppfyller rettighetene og pliktene knyttet til personvern.

Vi anbefaler at du enten oppdaterer eller får på plass rutiner for håndtering av personopplysninger.

Sørg for gode rutiner for:

• Lagringstid/sletting
• Innsyn, retting, supplering (den registrertes rettigheter)
• Informasjon
• Samtykke
• Utlevering av opplysninger til andre
• Tilgangskontroll
• Arbeidsgivers innsyn i ansattes e-post og private filområder

Les mer om etablering av internkontroll på datatilsynet.no

Personopplysninger skal ikke komme på avveie eller bli tilgjengelig for utenforstående. Alle som behandler personopplysninger plikter derfor å innføre rutiner for informasjonssikkerhet.

Det er særlig tre tilfeller du må tenke på:

a) Ved stor risiko for personvernet skal du vurdere personvernkonsekvenser særskilt. Informasjonssikkerheten skal ha en risikoanalyse i bunn. Det betyr at du må gjøre en vurdering av hvor sannsynlig det er at opplysninger du sitter på kan komme på avveie. Det inkluderer også en vurdering av konsekvensene en slik lekkasje kan ha for den som er registrert.

Reglene er strengere i tilfeller der behandlingen utgjør en særlig høy risiko for personvernet. Det er aktuelt hvis virksomheten behandler sensitive opplysninger i stort omfang, for eksempel helseopplysninger.

b) Personvern skal "bygges inn" i nye løsninger
Du skal innføre tiltak og systemer på en mest mulig personvernvennlig måte. Det betyr at standardinnstillingene må settes opp slik at det for eksempel ikke blir samlet inn flere personopplysninger enn nødvendig.

Du må også sette opp tekniske begrensninger for bruken av opplysningene, og du må sørge for at opplysningene blir slettet automatisk når virksomheten ikke lenger trenger dem.

c) Strenge krav til håndtering av sikkerhetsbrudd
Som hovedregel skal du varsle Datatilsynet innen 72 timer, dersom personopplysninger er kommet på avveie. Unntak gjelder dersom det er usannsynlig at lekkasjen får konsekvenser for den registrerte.

Bedrifter som behandler store mengder personopplysninger eller sensitive personopplysninger, kan være forpliktet til å ha et personvernombud. Dette gjelder både bedrifter som er regnet som behandlingsansvarlige, og de som er databehandlere.

Både behandlingsansvarlige og databehandlere skal utpeke et personvernombud dersom:

• Behandlingen blir utført av offentlig myndighet eller et offentlig organ, bortsett fra domstoler som handler innenfor rammen av sin domsmyndighet.
• Hovedvirksomheten består av behandlingsaktiviteter som på grunn av art, omfang og/eller formål krever regelmessig og systematisk monitorering i stor skala av registrerte.
• Hovedvirksomheten består av behandling i stor skala av sensitive personopplysninger eller personopplysninger knyttet til straffbare forhold.

Personvernombudet skal gi råd til deg og de ansatte om de forpliktelsene som kommer med personvernreglene. Ombudet skal også samarbeide med Datatilsynet, og fungere som et kontaktpunkt for tilsynet ved spørsmål. Ved behov skal ombudet også rådføre seg med tilsynet.

Personvernombudet kan være ansatt i virksomheten, eller du kan engasjere noen fra et eksternt firma.

Har dere ikke personvernombud og mener dere ikke trenger det? Med mindre det er opplagt at dere er fritatt fra forpliktelsen, burde dere dokumentere de vurderingene dere har gjort.

Selv om du etter regelverket ikke behøver å ha noen ombud i virksomheten din, må noen ha ansvaret for å sjekke at loven blir fulgt.

I mange tilfeller trenger du å overføre personopplysninger ut av virksomheten, for eksempel til samarbeidspartnere, leverandører eller myndigheter. Det er viktig at slik overføring gjøres på en sikker måte, og i enkelte tilfeller må du inngå en såkalt databehandleravtale med mottakeren.

Vi definerer overføring av personopplysninger som at opplysningene overføres til en annen virksomhet eller juridisk person.

Forskjellige formål krever ulik fremgangsmåte:

Overføring til databehandlere (tjenesteytere):

Hvis du har satt ut personaladministrasjon, regnskap, IT-drift eller andre interne oppgaver til eksterne virksomheter, kan overføring av personopplysninger være aktuelt. Det betyr at noen andre får innsyn i personopplysninger knyttet til de ansatte, og vil behandle disse opplysningene på vegne av deg som behandlingsansvarlig.

Da blir tjenesteyteren regnet som en databehandler. Det betyr at du som setter ut tjenester trenger en databehandleravtale.

Personvernreglene pålegger databehandleren et direkte ansvar for den behandlingen. Blant annet skal databehandleren ha rutiner for innsamling og bruk av personopplysningene, på lik linje med deg.

Overføring til aktører med selvstendig behandlingsansvar (myndigheter / nye leverandører / annet):

I andre tilfeller overfører du personopplysninger til en virksomhet som skal benytte opplysningene til egne formål. Et eksempel er skattemyndighetene. Selve overføringen er en "behandling", som krever lovhjemmel på lik linje med andre behandlingsformer.

Da regner vi mottakeren som en egen behandlingsansvarlig, som må sikre lovlig behandling av opplysningene på lik linje med din virksomhet og eventuelt andre behandlingsansvarlige.

Opplysningene skal bare bli utlevert i den grad de er saklig og relevant for det formålet de skal benyttes til. Personvernreglene stiller også krav til hvordan du utleverer personopplysninger, blant annet for å sikre at opplysningene ikke kommer på avveie.

Hva med overføring av personopplysninger ut av EU/EØS?

Overføring av personopplysninger ut av EU/EØS reiser særlige problemstillinger. Slik overføring er kun tillatt dersom man har et lovlig grunnlag for en slik overføring, og har sikret at opplysningene også i disse tilfellene blir behandlet på en måte som ivaretar den registrertes personvern på en forsvarlig måte.

I den såkalte Schrems II-dommen understreket EU-domstolen at man alltid må undersøke om beskyttelsesnivået i praksis vil bli undergravd av forhold i tredjelandet, for eksempel overvåkingslover som går lenger enn det som er nødvendig og proporsjonalt. I så fall må man iverksette ytterligere tiltak for å sikre at opplysningene blir forsvarlig behandlet.