BKLF
Meny
eu

Lurer du på hva den nye personvernforordningen vil bety for bedriften din?

De store mengdene av informasjon om den nye personvernfordringen, kan virke overveldende for de fleste av oss. Vi i BKLF har derfor laget en kortversjon med de punktene som vi mener er de viktigste for at bedriften din skal kunne overholde reglementet som trer i kraft i Norge snart; trolig i begynnelsen av juli.

Personvernforordningen (EU General Data Protection Regulationeller «GDPR») bestemmer hvordan det offentlige og bedrifter kan og skal behandle opplysninger om enkeltpersoner, og det gir enkeltpersoner rettigheter overfor det offentlige og bedrifter om opplysninger som er samlet inn om dem.

Bedrifter som har forbrukere som kunder må være ekstra oppmerksomme, for dette er kanskje den viktigste målgruppen for reglene. En annen viktig målgruppe er de ansatte, som arbeidsgivere ofte har mange opplysninger om.

Hva er «behandling» av personopplysninger?

«Behandling» omfatter omtrent all befatning med opplysninger om personer. Dette er for eksempel innhenting, lagring og bruk.

Har bedriften mottatt eller hentet inn opplysninger om privatpersoner, som så blir lagret, er dette «behandling» selv om opplysningene ikke blir brukt til noe. Andre eksempler er sammenstilling, systematisering, organisering, utlevering og formidling av slike opplysninger.

Hva er «personopplysninger»?

«Personopplysninger» er enhver opplysning som kan knyttes til en privatperson, alt fra navn, kjønn, alder, vekt og hårfarge, til telefonnummer, e-postadresse og arbeidssted. Opplysninger om ansatte er alltid personopplysninger. Opplysninger om aksjeselskaper er ikke personopplysninger.

En bedrift er behandlingsansvarlig for opplysninger om ansatte, privat- og bedriftskunder, kontaktpersoner hos leverandører osv.For å kunne behandle personopplysninger må man ha et juridisk grunnlag.

Personvernforordningen regner opp seks mulige behandlingsgrunnlag, og fire av dem er mest aktuelle for bedrifter:

  1. Den registrerte personen har gitt bedriften samtykke til behandlingen
  2. Det er nødvendig for bedriften for å oppfylle en avtale med den registrerte personen
  3. Det er nødvendig for å overholde lover og regler
  4. Bedriften har en berettiget interesse i behandlingen, som er nødvendig og som er viktigere enn å beskytte personopplysningene for den registrerte

Det er bedriften selv som må vurdere om den har behandlingsgrunnlag i hvert enkelt tilfelle, og dersom behandlingsgrunnlaget er samtykke (1) eller berettiget interesse (4), er det egne krav til dokumentasjon. Har ikke bedriften et av de fire behandlingsgrunnlagene kan den heller ikke behandle opplysningene.

Skal du behandle opplysninger som er sensitive, må bedriften ha et eget behandlingsgrunnlag, i tillegg til de som nettopp er nevnt. Sensitive opplysninger er for eksempel opplysninger om medlemskap i fagforening, helseforhold (som allergier, sykefravær, legebesøk og graviditet), etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller opplysninger om en persons seksuelle forhold eller seksuelle orientering. Det er også egne regler for opplysninger om straffbare forhold, som du må sette deg inn i hvis bedriften behandler slike opplysninger.

Behandlingsgrunnlag for sensitive opplysninger om ansatte er oftest at det er nødvendig i egenskap av arbeidsgiver. Utover dette er det i de aller fleste tilfellene nødvendig å få samtykke fra den registrerte selv, for eksempel en privatkunde.

Bedriften må lage seg en oversikt over hva slags personopplysninger bedriften har, og hvordan de blir brukt. Man kan for eksempel lage et dokument som bedriften kan bruke internt, og dermedsørge for at den gjør dette riktig i fremtiden. Alle de man har registrert opplysninger om, skal få vite om hvordan man opptrer.

Seks grunnleggende krav til behandling av opplysninger om personer

  1. Bedriften må behandle opplysningene på en måte som er lovlig, rettferdig og gjennomsiktig.

Bedriften må være sikker på at den har rett til å behandle opplysningene. De registrerte må få skikkelig informasjon om hvilke opplysninger bedriften har, og hva den gjør med opplysningene.

  1. Bedriften må ha bestemt seg for formålet med å samle inn opplysninger.

Du må bestemme deg for hvorfor du skal behandle opplysningene – før du samler dem inn. Og du skal (som regel) ikke bruke dem til andre formål. Hvis en person gir bedriften mobilnummeret for å delta i en konkurranse, kan du ikke uten videre bruke nummeret til å sende SMS-er med gode tilbud om varer og tjenester

  1. Bedriften må sørge for at opplysningene er tilpasset det formålet den har (men også at de ikke er mer omfattende).

Hvis formålet ditt er å sende e-post til en privatkunde, trenger du ikke hjemmeadresse eller telefonnummer.

  1. Bedriften må sørge for at opplysningene den har er korrekte.
  2. Bedriften må slette opplysninger som det ikke lenger er nødvendig å ha (alternativt kan man anonymisere opplysningene).
  3. Du må lagre og bruke opplysningene slik at de ikke blir misbrukt.

Krav til dokumentasjon

Bedriften må vurdere tiltak som reduserer risikoen for at man bryter reglene. Det er derfor nødvendig å vurdere risikoen, og dokumentere at man har gjort en slik vurdering, men dette trenger ikke å være veldig omfattende. Man må også dokumentere hvordan man ser for seg å etterleve reglene. Et typisk tiltak er å ha interne dokumenter som beskriver blant annet:

  • Hvilke typer av registrerte personer det er snakk om (for eksempel ansatte, kontaktpersoner hos kunder eller privatkunder)
  • Hvilke(t) formål bedriften har med behandlingen (for eksempel administrasjon av ansatte eller å informere kunder om nye produkter)
  • Hvilke typer opplysninger man bruker (for eksempel navn, bankkontonummer, inntekt eller epostadresse)
  • Hvordan bedriften bruker opplysningene (for eksempel innsending av opplysninger om ansattes inntekt til skattemyndighetene, eller lagring av epostadresser)
  • Hvilke grunnlag man har for å behandle opplysningene (for eksempel bedriftens egen interesse, samtykke, lovforpliktelse eller avtale)
  • At bedriften skal ha en personvernerklæring e.l.

Hva skjer hvis man bryter GDPR-reglene?

I Norge er det Datatilsynet som fører tilsyn med etterlevelsen av reglene. Brudd på reglene kan straffes med gebyr, og i 2016 ble det ilagt gebyr i 22 saker, med gebyrer på mellom 25 000 og 500 000 kroner.

Dersom du ønsker å lese mer om personvernforordringen, klikk her https://arbinn.nho.no/forretningsdrift/personvern/artikler/personvernerklaring/

Dersom du ønsker å lese mer om hva du kan gjøre, klikk her https://arbinn.nho.no/forretningsdrift/personvern/personopplysningsverktoy/innforing/

Relaterte artikler