I denne artikkelen kan du lese om hva din virksomhet må gjøre for å overholde kravene i personvernregelverket eller «GDPR» Ill: Pixabay
Sist oppdatert: 03-06-2021 - Artikkelforfatterne Marte Sofie Hatling og Elin Mathisen

Har du verktøyene for å sikre at din virksomhet ivaretar personvernreglene?

Alle som har ansatte, kunder eller leverandører behandler personopplysninger. Alle skal kunne føle seg trygge på at deres personopplysninger håndteres på en lovlig og sikker måte. Det er virksomhetens ansvar. Hvordan gjør du det?

I denne artikkelen kan du lese om hva din virksomhet må gjøre for å overholde kravene i personvernregelverket eller «GDPR».

Hvilke plikter har en virksomhet etter personvernregelverket? 
Dersom virksomheten behandler personopplysninger om f. eks. ansatte, kunder eller leverandører, vil virksomheten være ansvarlig for å sikre og dokumentere at personopplysningene behandles i samsvar med personvernregelverket.

Dette betyr i praksis at virksomheten må ha et internkontrollsystem for personvern. Internkontrollsystemet dokumenterer hvordan personopplysningene behandles i virksomheten, rolle- og ansvarsfordelinger, rutiner og tekniske og organisatoriske tiltak for å sikre overholdelse av regelverket. Dersom du allerede har et HMS- internkontrollsystem for virksomheten, så vil du kjenne igjen opplegget, med styrende, gjennomførende og kontrollerende dokumentasjon.

Personvernregelverket stiller noen minimumskrav til dokumentasjon, som vi skal se nærmere på i det følgende.

Behandlingsprotokoll
Personvernregelverket stiller krav til at det skal føres en protokoll over virksomhetens behandlingsaktiviteter. Det er ingen krav til hvordan protokollen skal se ut, men det er visse minimumskrav til innholdet. Protokollen blant annet angi:

  • Formålet med behandlingen,
  • kategorier av mottakere, slik som tjenesteleverandør,
  • Planlagte tidsfrister for sletting, og
  • Dersom tredjeparter har tilgang til dataene utenfor EU/EØS.

Det er mange fordeler med å lage en slik protokoll. I tillegg til at det er nødvendig for å oppfylle regelverket, så er det et nyttig verktøy for å få oversikt over hvilke personopplysninger som behandles i virksomheten, og den bidrar dermed til bevisstgjøring rundt virksomhetens håndtering av personopplysninger.

Risikovurdering
Personvernregelverket krever at alle virksomheter gjennomfører en risikovurdering av virksomheten.
Risikovurderinger skal gjennomføres før behandlingen av personopplysninger påbegynner, eksempelvis før virksomheten tar i bruk et nytt fakturahåndteringssystem.

Eksempler på risikosituasjoner kan være at ansattes helseopplysninger blir tilgjengelig for uautorisert personell, eller at kundedata er utilgjengelig som følge av feilregistreringer i virksomhetens system.

I forbindelse med risikovurderingen må det også identifiseres tiltak for å redusere risikoen. Slike tiltak kan f.eks. være at ansattes helseopplysninger lagres på et sikkert område med mekanismer for tilgangsstyring.

Rutiner for behandling av personopplysninger
Personvernregelverket stiller videre krav om at virksomheten har etablert rutiner for behandling av personopplysninger. Disse rutinene skal fremkomme av internkontrollsystemet. Gode rutiner er essensielt for å kunne overholde personvernreglene.

Ett eksempel på rutiner er beskrivelser av når og hvordan de enkelte personopplysningene skal slettes, for å sikre at personopplysningene ikke lagres lenger enn det som er lovlig.

Andre eksempler er rutiner for innsyn i ansattes e-postkasse, kameraovervåking på arbeidsplassen, håndtering av avvik (varsling av berørte og Datatilsynet) mv. Rutinene inngår som en del av den gjennomførende dokumentasjonen i internkontrollsystemet.

Bruk av IT-løsninger - husk databehandleravtale!
Alle virksomheter som bruker IT-løsninger må være sikre på at personopplysningene behandles på en lovlig måte i løsningene. For å sikre at leverandøren ikke misbruker personopplysningene, eller behandler dem på en annen måte enn det som er formålet med avtalen, stiller personvernregelverket krav om at det inngås en
databehandleravtale.

Personvernregelverket stiller også visse minimumskrav til innholdet i databehandleravtalen. En databehandleravtale skal blant annet beskrive formålet med behandlingen, hvilke personopplysninger leverandøren får tilgang til, hvilke underleverandører som benyttes, og hvilke plikter leverandøren må forholde seg til.

Dersom du ikke har foretatt tilstrekkelige undersøkelser og gjort tilstrekkelige tiltak for å sikre at leverandøren din behandler personopplysningene i samsvar med regelverket kan du bli holdt ansvarlig for leverandørens feil.

Det er derfor viktig å vurdere nøye om leverandøren f. eks. har gode rutiner for sikring av personopplysningene. Kan personopplysningene slettes når det ikke lenger er behov for dem, og kan tilgangen til personopplysningene begrenses? Dersom slik teknisk funksjonalitet ikke er på plass i løsningen, bør du sannsynligvis se etter andre systemer.

Gi informasjon om hvordan du behandler
personopplysningene – personvernerklæring og cookie-policy Etter personvernregelverket skal alle som behandler personopplysninger gi Informasjon om hvordan dette gjøres. Du må lage en personvernerklæring, og det vanligste er at den publiseres på din hjemmeside.

Regelverket stiller noen minimumskrav til innholdet i personvernerklæringen. I tillegg til kontaktopplysninger til virksomheten må det fremkomme hva som er formålet med behandlingen, hvem som er mottakere av personopplysningene, hvilke rettigheter den registrerte har osv. Dersom virksomheten har utarbeidet en
behandlingsprotokoll, vil den være til god hjelp ved utformingen av personvernerklæringen.

Dersom virksomheten bruker informasjonskapsler på nettsiden (cookies), eksempelvis for å gjennomføre analyse og statistikk av brukeraktiviteten på nettsiden eller for markedsføringsformål, må det gis informasjon om dette på nettsiden. Dette gjøres med en såkalt cookie-policy. For å kunne ta i bruk cookies til f. eks. markedsføringsformål, må samtykke til det innhentes før cookiene samler inn brukerinformasjon.

Hva gjør du nå? - Få på plass nødvendig dokumentasjon
Stadig flere blir opptatt av sitt personvern. Vi opplever at virksomheter som tar personvern på alvor og som synliggjør dette for sine kunder, har et konkurransefortrinn. En virksomhet som oppfyller regelverket oppfattes som seriøst.

Mer alvorlig er at brudd på personvernregelverket kan lede til bøter, erstatningskrav
og omdømmetap.

Advokatfirmaet Berngaard har bred erfaring med å hjelpe store og små aktører i byggebransjen med å overholde personvernregelverket. Vi kjenner bransjen godt og har utviklet maler og verktøy som gjør det enkelt for din bedrift å oppfylle kravet til dokumentasjon og rutiner i personvernregelverket. Ta kontakt for mer informasjon.

Aleksander Nielsen - Senioradvokat 
Aleksander er tilknyttet firmaets eiendoms- og entrepriseavdeling, og bistår både offentlige og private aktører med rådgivning og tvisteløsning i forbindelse med ulike typer bygge- og anleggsprosjekter. 

+47 951 12 570 - aleksander@berngaard.no