Innhold

Lovlig håndtering av person-opplysninger i tre trinn

Artikkel, Personvern

#205

Alle bedrifter er lovpålagt å håndtere, kundelister, ansatteopplysninger og andre personopplysninger på en sikker måte. Her finner du verktøyet du trenger for å følge loven.

NHO har utarbeidet et standardisert personvernverktøy som gjør det enklere for medlemsbedriftene å oppfylle de lovpålagte kravene for håndtering av personopplysninger. Du finner dokumentene nederst på denne siden. Verktøyet består av tre trinn. Til hvert trinn følger det en veileder du bør lese grundig. I tillegg har vi utarbeidet maler for skjemaer du vil trenge underveis. Også disse finner du nederst på denne siden.

Før du starter prosessen, bør du lese litt om hvorfor du trenger dette verktøyet:

Du risikerer store bøter 

Det stilles i dag omfattende krav til norske virksomheters håndtering av personopplysninger. Enda strengere EU-regler er på vei, og vil kunne gjelde for norske virksomheter fra 2018. Datatilsynets inspeksjoner tyder på at mange virksomheter kjenner personvernkravene for dårlig.

Husk å skrive ut dokumentene

Tips: De ferdig utfylte dokumentene bør lagres elektronisk, men også skrives ut og settes i en egen perm. Internkontrollsystemet skal være tilgjengelig på forespørsel for virksomhetens ansatte, samt for Datatilsynet og Personvernnemnda.

Manglende oppfølging av personvern kan bli kostbart – både økonomisk og omdømmemessig. Personvern er et hett tema i samfunnsdebatten, og noe både ansatte og fagforeninger er opptatt av. I dag kan Datatilsynet gi bøter på ca 900 000 kroner per regelbrudd. Det nye EU-regelverket som er på vei legger opp til at bedrifter får større ansvar for personvern, samtidig som det åpnes for langt strengere sanksjoner. 

I verste fall kan overtredelser av regelverket sanksjoneres med bøter på mellom to til fire prosent av global årlig omsetning for virksomheten.

Hva er personopplysninger og behandlingsansvar?

Personopplysninger er opplysninger eller vurderinger som kan knyttes til enkeltpersoner. Virksomheten håndterer personopplysninger om sine ansatte. Det kan være opplysninger om for eksempel navn, kontaktdata, ansettelseshistorikk, utdanning eller kartlegging av adferd.

Det gjelder ekstra strenge krav for virksomhetens håndtering av sensitive personopplysninger; opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger.

Virksomheten kan også ha personopplysninger om kunder, forretningsforbindelser eller andre tredjeparter.

Når virksomheten står for håndteringen av personopplysninger, bestemmer hvilke opplysninger som skal samles inn, hvordan de skal brukes, hvor lenge de skal lagre osv, er virksomheten såkalt behandlingsansvarlig og er da underlagt en rekke plikter ved lov.

Dette er de tre trinnene

Første trinn - Datakartlegging: Det er et krav at virksomheten kartlegger sin behandling av personopplysninger, på hvilken måte opplysningene brukes, og til hvilke formål. Vi har laget et standardisert spørreskjema
virksomheten kan ta utgangspunkt i og fylle ut for å få slik oversikt. I veilederen finner du info om hvordan det skal fylles ut.

Andre trinn - Avviksanalyse: Når skjemaet for datakartlegging er fylt ut, kan funnene ses opp mot de øvrige lovpålagte kravene for å kartlegge eventuelle avvik, og deretter avhjelpe uakseptabel risiko for virksomheten. Det er utarbeidet et eget skjema for avviksanalyse for dette formålet. I den tilhørende veilederen finner du info om hvordan skjemaet skal fylles ut. 

Tredje trinn - internkontroll: Siste trinn består av en dokumentasjonspakke med standardiserte maler for å sørge for at virksomheten har lovpålagt dokumentasjon for internkontroll og sikkerhet. Maler for internkontroll med tilhørende brukerveiledning er inntatt i separat dokument for trinn tre.

OBS!

NHOs personvernverktøy er standardisert og laget for å gi virksomheten et godt utgangspunkt for å oppfylle lovkravene på området. Dokumentene som inngår i verktøyet må tilpasses avhengig av virksomhetens behov og eventuelle eksisterende rutiner. Dersom det er uklarheter knyttet til personvernkravene og hva virksomheten må gjøre for å oppfylle kravene, må råd søkes hos advokat.

Datatilsynet tilbyr også rådgivning som kan være nyttig for virksomheten. I kontakt med Datatilsynet bør virksomheten være oppmerksom på at Datatilsynet ikke bare gir råd, men også har som oppgave å kontrollere overholdelse av personvernkravene og har myndighet til å gi pålegg og bøter. I all kontakt med Datatilsynet anbefaler vi derfor at virksomheten stiller best mulig forberedt.

NHOs personvernverktøy

Trinn en, to og tre

Til trinn tre - forslag til standardskjemaer