Partner, Advokat
Personvern og GDPR – for bedrifter
All behandling av personopplysninger skal ha hjemmel i GDPR artikkel 6. Dette kalles behandlingsgrunnlag. Knytningen mellom personopplysninger og behandlingsgrunnlag er det viktigste elementet i GDPR. Dette viser virksomhetens forståelse og kontroll på hvilke personopplysninger som behandles, som må kunne dokumenteres.
Nordia Law sine tjenester omfatter blant annet:
- Personvernkonsekvensutregning (DPIA) – kartlegging av personopplysninger og sensitivitet
- Risikovurderinger og overholdelse
- Databehandleravtaler
- Personvernerklæring
- Personvernombud
- Tillatelser og varsler til Datatilsynet
- Samtykkemekanismer
- Rammer for bruk av og informasjonskapsler, dataanalyser, robotisering og kunstig intelligens
- Smarttelefoner / e-post / sosiale medier
- Personvernbestemmelser i arbeidsavtaler
- Skytjenester, outsourcing og bruk av underleverandører
- Personvernbestemmelser i IT-kontrakter
- Eksport av personopplysninger (EUs standardavtaler (SCC), Binding Corporate Rules (BCR))
- Besvare henvendelser fra Datatilsynet, herunder bistå ved forberedelse og gjennomføring av tilsyn
Nordia Law har betydelig erfaring med bistand til GDPR for små og store selskaper. Vi er spesialisert mot finanssektoren, den mest gjennomregulerte næringen i landet. Våre compliance-tjenester omfatter ofte en kombinasjon av tjenester der vi ser selskapets håndtering av personvern i sammenheng med øvrig regulering, som krever løpende compliance, som for eksempel antikorrupsjon, anti-hvitvasking og løpende overholdelse av regelverk for etablering og drift, herunder myndighetsrapportering. Les mer om compliance her.
Ofte stilte spørsmål
-
GDPR - Hva er personopplysninger i min bedrift?
Personopplysninger er alle opplysninger som kan knyttes til en enkeltperson. Typiske personopplysninger er navn, adresse, telefonnummer, e-post og fødselsnummer.
Opplysninger som gir tilstrekkelig grunnlag for identifikasjon av enkeltpersoner er også personopplysninger. Dette kan blant annet være bilder, dynamisk IP-adresse, registreringsnummer på bil, opplysninger om adferdsmønstre- som hvor du handler, web-sider man benytter, hvor du beveger deg.
De fleste bedrifter behandler også sensitive eller særlige personopplysninger, som for eksempel helseopplysninger om ansatte.
-
GDPR – hva kreves av min bedrift?
Alle bedrifter må kartlegge personopplysninger som er lagret, innhentet eller behandlet i virksomheten. Det er ikke et vilkår at informasjonen brukes aktivt, også informasjon som ligger passivt og er samlet opp over virksomhetens levetid må kartlegges.
Når dette er gjort vurderes om bedriften har et rettslig grunnlag i GDPR-forordningen for å behandle de forskjellige typer personopplysninger som er identifisert. All behandling av personopplysninger krever rettslig grunnlag. Har du ikke et rettsgrunnlag må du slette informasjonen. GDPR-forordningen har også regler om innsyn i, oppbevaring av og sletting av personopplysninger som må kunne håndteres løpende av bedriften. Videre stilles det krav til at du bekjentgjør for bedriftens brukere hvordan deres personopplysninger behandles, og at bedriften har rutiner for håndtering av de aktuelle plikter og rettigheter.
-
GDPR – hva vil det koste meg å innrette virksomheten?
Forordningen gjelder alle virksomheter som behandler persondata og innsatsen som kreves vil avhenge av mange forhold. I vanlige bedrifter vil det finnes personopplysninger om ansatte og normalt også om kunder, samarbeidspartnere og andre kontakter, ofte lagret på filservere, mailservere og i arkiv. For bedrifter med konsesjon eller spesielle tillatelser, vil det normalt være flere opplysninger som er personopplysninger, enkelte av disse kan være sensitive.
Vi tilbyr GDPR-compliance for din virksomhet. Tilbudet kan estimeres etter et oppstartsmøte. I enkle tilfeller vil vi kunne tilby en pakkepris på 20 000,- for kartlegging, en personvernerklæring, samt redegjørelse for behandlingsgrunnlag og -ansvar, samt oversikt over hvilke grep du eventuelt må ta for videre håndtering.
-
GDPR – trenger jeg personvernombud?
Det er pålagt med ombud dersom du har hovedvirksomhet som regelmessig og systematisk monitorerer privatpersoner ved sporing og profilering av personer i et visst omfang. Typiske aktiviteter som kommer inn under dette begrepet er blant annet (løpende, jevnlig, systematisk) utsendelse av persontilpasset reklame, sporing ved mobilapplikasjoner, kundeklubber og lojalitetsprogrammer, kredittvurderinger på bakgrunn av tidligere handlemønster og betalingshistorikk.
Personvernombudet trenger ikke være en ansatt. Det kan også være en ekstern person som utfører oppgavene på grunnlag av en oppdragsavtale.
-
GDPR – hva slags henvendelser må jeg være forberedt på?
Du må være forberedt på å motta spørsmål fra ansatte eller tidligere ansatte som vil be om innsyn. Tilsvarende gjelder for kunder og registrerte kontakter. Overfor leverandører må du kunne redegjøre for hvordan du håndtere personopplysninger før du får tilgang til deres data som du trenger i virksomheten din. Det samme gjelder for samarbeidspartnere. Blir din bedrift rapportert til datatilsynet, vil du måtte tåle spørsmål og undersøkelser fra våre myndighetsorganer.
Typiske spørsmål du må besvare uten kostnad for den som spør/rettighetshaver:
- Rett til innsyn
- Rett til retting
- Rett til sletting
- Rett til å protestere
Det er vår anbefaling å ha gode og effektive rutiner på plass for håndtering av slike henvendelser.
-
GDPR – Konkurranse
Dersom din bedrift skal konkurrere om store og viktige oppdrag/tjenester, eller delta i offentlige anbud, vil dokumenterbar, korrekt håndtering av GDPR være en nødvendighet for deltakelse. Vi anbefaler alle kunder å innrette seg slik at forretningsmulighetene ikke forringes.
-
GDPR – hva er behandlingsansvar og behandlingsgrunnlag?
Behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysningene. Virksomheten må ha kontroll på når den er behandlingsansvarlig, enten alene eller sammen med andre. Behandlingsansvarlig skal nemlig iverksette nødvendige tiltak for å ivareta personvernet for den registrerte og gi databehandler instruks om hvordan virksomhetens personopplysninger skal håndteres. Behandlingsansvarliges risikoanalyser, instrukser og tiltak er utslagsgivende for hvorvidt det skjer brudd på personvernet slik dette skal være iht. GDPR. Behandlingsgrunnlag er det rettslige grunnlaget som gjør det lovlig å behandle personopplysninger. Dersom du mangler behandlingsgrunnlag, kan du ikke behandle personopplysningene
-
GDPR – hvem er databehandler?
En databehandler er en som behandler personopplysninger etter instruks, og på vegne av den behandlingsansvarlige. Det vil typisk være virksomhetens leverandører av IT-systemer.
-
GDPR – er det nødvendig med en kontinuerlig prosess?
Overholdelse av GDPR er klassisk compliance-arbeid og er en kontinuerlig prosess. Det første steget består i å få en oversikt over data som behandles, henføre behandling til behandlingsgrunnlag, etablere rutiner og stake ut en retning. Deretter etableres databehandleravtaler, utferdiges personvernerklæringer, og selskapet må dokumentere løpende etterlevelse av rutiner og rydde opp i eventuelle avvik.
For mange mindre bedrifter vil det løpende ansvaret kunne ivaretas enkelt. Når regimet først er etablert, vil det kunne vedlikeholdes ved svært enkle grep.
-
GDPR – Analyser av kunder, brukere og leverandører – påvirker dette bedriftens forpliktelser?
Næringslivet samler informasjon om sine kunder, brukere og leverandører. Tidligere lagret man slik informasjon i hodet eller på kundemapper i kundearkiver, i dag er alt digitalisert og tas vare på over tid. De fleste bedrifter har i dag web-sider med kontaktskjemaer og informasjonskapsler (cookies) eller dataprogrammer som fanger og registrerer informasjon om brukerne og deres preferanser og interesser. Ekspansive bedrifter bygger i dag også robotiserte systemer for analyser og kontroll av kundedata som skal forsterke lønnsomhet. Innsamlings- og analyseløsninger forbedres stadig, og suppleres i økende grad med kunstig intelligens. Løsningene som etableres skaper sterk konkurransekraft, men utfordrer samtidig personvernregelverket. Den løpende risikovurderingen må tilpasses slik ny utvikling for å sikre styrets kontroll på compliance ift. regelverket og dokumentasjon for at jobben i selskapet er gjort.
-
GDPR – hva gjør jeg når jeg får varsel om tilsyn?
Varsel om tilsyn fra Datatilsynet eller andre tilsynsmyndigheter bør forberedes godt. Dokumentasjon for compliance bør fremfinnes eller utarbeides i forkant på grunnlag av lagrede data. Selskapets styre får ved et tilsyn anledning til å dokumentere sin løpende kontroll, og også en god anledning til å teste om den virksomheten de er satt til å lede praktiserer og forstår styrets risikovurdering.
-
GDPR – Hva er den forretningsmessige og økonomiske risiko ved brudd?
Følgende situasjoner krever at selskapet i forkant sikrer overholdelse av regelverket og kan dokumentere dette
- Deltakelse i offentlige anbud
- Salg eller sammenslåing av virksomheten – M&A
- Enhver form for Due Dilligence – innsynsrett for tredjepart
- Tilsyn fra datatilsynet eller annen tilsynsmyndighet f eks. Finanstilsynet, eller etterforskning av myndighetsorganer
Bedrifter som ikke følger regelverket kan ikke selges uten prisavslag eller risiko for et erstatningsansvar. Nært samarbeid med andre seriøse bedrifter vil også vanskeliggjøres. Ved forretningsmessig samhandling kreves innsyn i GDPR/compliance. I anbudskonkurranser vil man normalt bli avvist.
Bedrifter som ikke følger regelverket kan bøtelegges med opp til 4 prosent av brutto omsetning – og det er signalisert med forordningen at området skal prioriteres og at brudd skal «koste». Inngår selskapet i et konsern, er det hele konsernets omsetning som legges til grunn for beregning av botens størrelse. Innsynsretten for den registrerte vil medføre klager, dersom bedriften ikke har GDPR på stell. Oppdagelsesrisiko er ved dette økt betydelig.
Vi anbefaler alle kunder å innrette seg slik at forretningsmulighetene ikke forringes.