Personvern

GDPR er en del av personopplysningsloven. Alle som behandler personopplysninger i sin virksomhet må følge personvernregelverket. Nedenfor finner du Virkes 7 steg for å få det til.

Hva regnes som personopplysninger?

Personopplysninger er informasjon som kan knyttes til deg som enkeltperson. Navnet ditt, e-postadressen din, telefonnummeret ditt og bostedsadressen din er eksempler på personopplysninger.

Hva er sensitive personopplysninger?

Sensitive personopplysninger, omtalt som «særlige kategorier av personopplysninger» i GDPR, er personopplysninger om følgende forhold:

  • Rasemessig eller etnisk opprinnelse
  • Politisk oppfatning
  • Religion
  • Filosofisk overbevisning
  • Fagforeningsmedlemskap
  • Genetiske opplysninger
  • Biometriske opplysninger
  • Helseopplysninger
  • Opplysninger om seksuelle forhold eller seksuell orientering

Hva må du gjøre for å følge GDPR?

Det viktigste for deg som arbeidsgiver er å behandle personopplysninger på riktig måte. Dette kan du enkelt få til ved å følge Virkes 7 steg:

  • 1. Skaff deg oversikt

    Det første du må gjøre for å overholde personvernregelverket, er å skaffe deg oversikt over hvilke personopplysninger bedriften samler inn, bruker og behandler.

    Oversikten må gjøre det klart hvilke personopplysninger det gjelder. Du må kartlegge hva du lagrer av personopplysninger om dine ansatte og dine kunder, eventuelt også elever, pasienter eller medlemmer.

    Les mer på Datatilsynets nettsider

  • 2. Sjekk hva som er lov

    Du kan bare behandle personopplysninger i tilfeller hvor det er lovlig.

    Et av de lovlige grunnlagene for behandling er der behandling er nødvendig for å oppfylle en avtale, f.eks. oppfyllelse av kjøpsavtalen med en kunde eller arbeidsavtalen med en ansatt. Grunnlaget kan også være en rettslig forpliktelse, herunder forpliktelser etter regnskaps- og bokføringsloven eller rapportering til skattemyndigheter eller NAV. Grunnlaget kan også være at det er avgitt et samtykke til en spesifikk behandling, som f.eks. samtykke til å bli kontaktet med direkte markedsføring.

    I hverdagen betyr dette normalt at du bare samler inn personopplysninger som er nødvendige for at virksomheten kan oppfylle en avtale, eller at de du samler inn opplysninger om har gitt sitt samtykke til bruk av disse opplysningene til bestemte formål.

  • 3. Lag en personvernerklæring

    Du som behandler personopplysninger må tydelig formidle til de det gjelder hvordan bedriften samler inn denne informasjonen, og hvordan dere behandler personopplysninger. I tillegg skal du gjøre informasjonen lett tilgjengelig for den du samler opplysninger om.

    Opplysningene om behandlingen av personopplysninger skal du gi på en forståelig og enkel måte.

    Hva må personvernerklæringen inneholde? Se oversikt på datatilsynet.no

  • 4. Få sving på internkontrollen

    Virksomheten må ha rutiner for internkontroll, som sikrer at du oppfyller rettighetene og pliktene knyttet til personvern.

    Vi anbefaler at du enten oppdaterer eller får på plass rutiner for håndtering av personopplysninger.

    Sørg for gode rutiner for:

    • Lagringstid/sletting
    • Innsyn, retting, supplering (den registrertes rettigheter)
    • Informasjon
    • Samtykke
    • Utlevering av opplysninger til andre
    • Tilgangskontroll
    • Arbeidsgivers innsyn i ansattes e-post og private filområder

    Les mer om etablering av internkontroll på datatilsynet.no

  • 5. Etabler gode sikkerhetsrutiner

    Personopplysninger skal ikke komme på avveie eller bli tilgjengelig for utenforstående. Alle som behandler personopplysninger plikter derfor å innføre rutiner for informasjonssikkerhet.

    Det er særlig tre tilfeller du må tenke på:

    a) Ved stor risiko for personvernet skal du vurdere personvernkonsekvenser særskilt. Informasjonssikkerheten skal ha en risikoanalyse i bunn. Det betyr at du må gjøre en vurdering av hvor sannsynlig det er at opplysninger du sitter på kan komme på avveie. Det inkluderer også en vurdering av konsekvensene en slik lekkasje kan ha for den som er registrert.

    Reglene er strengere i tilfeller der behandlingen utgjør en særlig høy risiko for personvernet. Det er aktuelt hvis virksomheten behandler sensitive opplysninger i stort omfang, for eksempel helseopplysninger.

    b) Personvern skal "bygges inn" i nye løsninger
    Du skal innføre tiltak og systemer på en mest mulig personvernvennlig måte. Det betyr at standardinnstillingene må settes opp slik at det for eksempel ikke blir samlet inn flere personopplysninger enn nødvendig.

    Du må også sette opp tekniske begrensninger for bruken av opplysningene, og du må sørge for at opplysningene blir slettet automatisk når virksomheten ikke lenger trenger dem.

    c) Strenge krav til håndtering av sikkerhetsbrudd
    Som hovedregel skal du varsle Datatilsynet innen 72 timer, dersom personopplysninger er kommet på avveie. Unntak gjelder dersom det er usannsynlig at lekkasjen får konsekvenser for den registrerte.

  • 6. Vurder om du trenger et personvernombud

    Bedrifter som behandler store mengder personopplysninger eller sensitive personopplysninger, kan være forpliktet til å ha et personvernombud. Dette gjelder både bedrifter som er regnet som behandlingsansvarlige, og de som er databehandlere.

    Både behandlingsansvarlige og databehandlere skal utpeke et personvernombud dersom:

    • Behandlingen blir utført av offentlig myndighet eller et offentlig organ, bortsett fra domstoler som handler innenfor rammen av sin domsmyndighet.
    • Hovedvirksomheten består av behandlingsaktiviteter som på grunn av art, omfang og/eller formål krever regelmessig og systematisk monitorering i stor skala av registrerte.
    • Hovedvirksomheten består av behandling i stor skala av sensitive personopplysninger eller personopplysninger knyttet til straffbare forhold.

    Personvernombudet skal gi råd til deg og de ansatte om de forpliktelsene som kommer med personvernreglene. Ombudet skal også samarbeide med Datatilsynet, og fungere som et kontaktpunkt for tilsynet ved spørsmål. Ved behov skal ombudet også rådføre seg med tilsynet.

    Personvernombudet kan være ansatt i virksomheten, eller du kan engasjere noen fra et eksternt firma.

    Har dere ikke personvernombud og mener dere ikke trenger det? Med mindre det er opplagt at dere er fritatt fra forpliktelsen, burde dere dokumentere de vurderingene dere har gjort.

    Selv om du etter regelverket ikke behøver å ha noen ombud i virksomheten din, må noen ha ansvaret for å sjekke at loven blir fulgt.

  • 7. Overfør personopplysninger på en sikker måte

    I mange tilfeller trenger du å overføre personopplysninger ut av virksomheten, for eksempel til samarbeidspartnere, leverandører eller myndigheter. Det er viktig at slik overføring gjøres på en sikker måte, og i enkelte tilfeller må du inngå en såkalt databehandleravtale med mottakeren.

    Vi definerer overføring av personopplysninger som at opplysningene overføres til en annen virksomhet eller juridisk person.

    Forskjellige formål krever ulik fremgangsmåte:

    Overføring til databehandlere (tjenesteytere):

    Hvis du har satt ut personaladministrasjon, regnskap, IT-drift eller andre interne oppgaver til eksterne virksomheter, kan overføring av personopplysninger være aktuelt. Det betyr at noen andre får innsyn i personopplysninger knyttet til de ansatte, og vil behandle disse opplysningene på vegne av deg som behandlingsansvarlig.

    Da blir tjenesteyteren regnet som en databehandler. Det betyr at du som setter ut tjenester trenger en databehandleravtale.

    Personvernreglene pålegger databehandleren et direkte ansvar for den behandlingen. Blant annet skal databehandleren ha rutiner for innsamling og bruk av personopplysningene, på lik linje med deg.

    Overføring til aktører med selvstendig behandlingsansvar (myndigheter / nye leverandører / annet):

    I andre tilfeller overfører du personopplysninger til en virksomhet som skal benytte opplysningene til egne formål. Et eksempel er skattemyndighetene. Selve overføringen er en "behandling", som krever lovhjemmel på lik linje med andre behandlingsformer.

    Da regner vi mottakeren som en egen behandlingsansvarlig, som må sikre lovlig behandling av opplysningene på lik linje med din virksomhet og eventuelt andre behandlingsansvarlige.

    Opplysningene skal bare bli utlevert i den grad de er saklig og relevant for det formålet de skal benyttes til. Personvernreglene stiller også krav til hvordan du utleverer personopplysninger, blant annet for å sikre at opplysningene ikke kommer på avveie.

    Hva med overføring av personopplysninger ut av EU/EØS?

    Overføring av personopplysninger ut av EU/EØS reiser særlige problemstillinger. Slik overføring er kun tillatt dersom man har et lovlig grunnlag for en slik overføring, og har sikret at opplysningene også i disse tilfellene blir behandlet på en måte som ivaretar den registrertes personvern på en forsvarlig måte.

    I den såkalte Schrems II-dommen understreket EU-domstolen at man alltid må undersøke om beskyttelsesnivået i praksis vil bli undergravd av forhold i tredjelandet, for eksempel overvåkingslover som går lenger enn det som er nødvendig og proporsjonalt. I så fall må man iverksette ytterligere tiltak for å sikre at opplysningene blir forsvarlig behandlet. 

Podcast:

Hva bør arbeidsgivere vite om personvern

Hvorfor trenger vi å ha lover og regler om personvern? Hva er det viktigste du som arbeidsgiver må ha kontroll på? Og når kan du som leder gjøre innsyn i en medarbeiders e-post? Dette – og mye mer – får du svar på i denne episoden.

Hør episoden på Spotify eller Apple Podcast

Podkast for ledere eller deg som har arbeidsgiveransvar. Hør flere episoder med annen relevant tematikk for arbeidsgiveriet.

Tren deg opp på arbeidsrett med Arbeidsgiverguiden!

Arbeidsgiverguiden er mer enn et oppslagsverk i arbeidsrett. I Arbeidsgiverguiden får du et opplæringsverktøy i form av et stort antall quizer, og du kan opprette digitale, juridiske kontrakter hvor alle parter kan signere med e-post eller BankID.

Gå til GDPR og personvern i Arbeidsgiverguiden (Krever innlogging):

Vurderer du medlemskap i Virke?

Som medlem får du som arbeidsgiver mange fordeler.

  • Få hjelp med HR og arbeidsrett

    Virkes rådgivere står klare til å bistå med gode råd og konkret hjelp i forbindelse med ansettelsesavtaler, oppsigelsessaker, nedbemanningsprosesser og andre personalsaker.

    Hjelp for arbeidsgivere

  • Forretningsjuridisk bistand

    Få tilgang til forretningsjuridisk bistand fra Virkes erfarne advokater. Medlemmer får inntil 30 minutters forretningsjuridisk rådgivning i hver sak, helt kostnadsfritt. Tar henvendelsen lengre tid, får du en svært konkurransedyktig pris.

    Forretningsjuridisk bistand

  • Gunstige fordelsavtaler

    Spar penger på produkter og tjenester som bedriften har bruk for! Som Virke-medlem får du gode rabatter og prioritert kundeservice hos våre mange samarbeidspartnere.

    Se alle fordelsavtalene