Behandling av personopplysninger

Behandler din virksomhet personopplysninger?

Dersom din virksomhet behandler personopplysninger, er virksomheten pliktig til å følge de strenge kravene som fremkommer av personvernlovgivningen. I 2018 kommer det nye og enda strengere regler på bakgrunn av ny EU-lovgivning. De nye reglene innebærer ikke bare at regelverket blir strengere. Virksomhetene risikerer samtidig svært høye overtredelsesgebyrer fra Datatilsynet dersom de nye kravene blir brutt. Disse gebyrene kan være på opp mot 4 % av global årlig omsetning.

Alle virksomheter bør nå vurdere om egne rutiner oppfyller dagens krav slik at overgangen til de nye reglene blir enklere om ett års tid.

Personvern – hva er det?

Personvern handler om retten til å bestemme over opplysninger om seg selv. Dette innebærer både en rett til å verne om sitt privatliv, men også en rett til medbestemmelse for hvordan personopplysningene brukes og spres. I dagens samfunn blir det stadig mer fokus på nettopp personvern, rett og slett fordi vi gir fra oss personopplysninger på daglig basis gjennom blant annet mobilapper og nettsteder.

Noen av de viktigste begrepene innenfor personvern er følgende:

  • Personopplysning: Enhver opplysning eller vurdering som kan knyttes til en enkeltperson (navn, adresse, epostadresse, bilder, fødselsdato mv.)
  • Sensitive personopplysninger: Opplysninger om rasemessig eller etnisk bakgrunn, politisk, filosofisk eller religiøst oppfatning, opplysninger om straffeforhold, helseforhold, seksuelle forhold eller medlemskap i fagforeninger
  • Behandling av personopplysninger: All behandling av personopplysninger. Dette kan være lagring, sletting, endring, innsamling, registrering, utlevering mv.
  • Registrert: Den personen personopplysningen omhandler / kan knyttes til
  • Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes.
  • Databehandler: Den som behandler personopplysninger på vegne av den behandlingsgansvarlige. Dette vil typisk være en underleverandør, eksempelvis et regnskapsfirma som leverer lønnstjenester til virksomheten og således behandler personopplysninger om den behandlingsansvarliges ansatte.

 

Hvem har lov til å behandle personopplysninger?

Personopplysninger_hvem kan behandleDet er den registrerte som eier personopplysningene om seg selv. En behandlingsansvarlig vil kun «låne» tilgangen til disse opplysningene. For at man skal ha lov til å behandle personopplysningene, må det derfor foreligge et behandlingsgrunnlag. Samtykke er den vanligste formen for behandlingsgrunnlag, men det finnes også flere behandlingsgrunnlag fastsatt i personopplysningsloven. Behandling av personopplysninger for å oppfylle en avtale med den registrerte eller for å oppfylle en rettslig forpliktelse, er gyldige behandlingsgrunnlag i henhold til personopplysningsloven.

I tillegg til at det må foreligge et behandlingsgrunnlag, kan ikke personopplysningene behandles til andre formål enn hva som opprinnelig er forutsatt mellom den registrerte og behandlingsansvarlig. Når formålet med behandlingen bortfaller, må behandlingen av personopplysningene opphøre.

Eksempelvis vil det å oppfylle arbeidsavtalen med den ansatte være et lovlig behandlingsgrunnlag. For å kunne utbetale lønn, melde vedkommende inn i pensjons- og forsikringsordninger og lignende er det en forutsetning at din virksomhet mottar opplysninger fra den ansatte. Opplysningene kan behandles så lenge det er et behov for å oppfylle forpliktelsene som følger av arbeidsavtalen.

 

Hvilke krav stilles til virksomheten?

Det er mange rutiner som må være på plass og dokumentasjonskrav som må oppfylles for å overholde kravene i personvernlovgivningen. Noen av rutinene virksomheter som behandler personopplysninger må ha er:

  • Rutiner for håndtering av personopplysninger, hvilket blant annet inkluderer rutiner for:
    • Sletting av personopplysninger
    • Utlevering av personopplysninger til tredjeparter
    • Kvalitetssikring av personopplysninger
    • Ivaretakelse av virksomhetens informasjonsplikt
    • Innsyn
    • Retting og supplering
    • Overholdelse av eventuell melde- og konsesjonsplikt
    • Innsyn i ansattes private epostkasse og private filområder
  • Risikorutiner for blant annet å avdekke hvor godt sikret personopplysningene er
  • Gode avviksrutiner som sikrer at alle avvik dokumenteres og følges opp
  • Rutiner for å kontrollere at informasjonssikkerheten er tilstrekkelig ivaretatt

I tillegg må det foreligge såkalte databehandleravtaler med alle virksomhetens databehandlere.

Hvor omfattende rutinene må være avhenger av virksomhetens størrelse og omfanget av personopplysninger virksomheten behandler. Dersom virksomheten behandler personopplysninger i et stort omfang, eller virksomheten behandler sensitive personopplysninger, vil dette stille strengere krav til personvernrutinene.

 

Hva betyr de nye reglene?

Kort fortalt, vil de nye reglene som kommer i 2018 bety strengere krav til virksomheter som behandler personopplysninger.Personopplysninger_nye regler

Et av de viktigste punktene i den nye lovgivningen er at informasjonsplikten om hvordan personopplysninger blir behandlet i virksomheten blir strengere. Den største praktiske betydningen av dette er at virksomheter må ha en lett tilgjengelig og forståelig personvernerklæring som må oppfylle visse krav.

En del virksomheter vil bli pålagt å gjennomføre utredninger kalt personvernkonsekvenser, og noen vil også ha en plikt til å forhåndsdrøfte dette med Datatilsynet.

Videre vil mange måtte opprette såkalte personvernombud. Dette er en person som utpekes av behandlingsansvarlig og som må godkjennes av Datatilsynet. Personvernombudets oppgaver vil bli å bidra til at den behandlingsansvarlige følger personvernlovgivningen. Ordningen vil være åpen for virksomheter som ønsker å utnevnte personvernombud selv om de ikke er pliktige.

I tillegg vil det også bli mye strengere krav til avvikshåndteringen og avviksrapportering til Datatilsynet, samt varsling til de berørte.

 

Hva bør din virksomhet gjøre nå?

personopplysninger_hva nåDin virksomhet bør kartlegge hva slags personopplysninger dere behandler, om dere har tilstrekkelig grunnlag for å behandle personopplysningene og hvordan dere behandler personopplysningene i dag.

Videre bør dere kontrollere om dere har underleverandører eller samarbeidspartnere som behandler disse personopplysningene og om dere har gyldige databehandleravtaler med disse.

I tillegg bør dere kartlegge hva slags rutiner for personvern dere har i virksomheten i dag, og om disse oppfyller dagens krav. Ved å ha gode rutiner som oppfyller dagens krav vil overgangen til de nye kravene bli enklere.

 

Konsekvensene dersom Datatilsynet avdekker brudd i din virksomhet

Dersom Datatilsynet avdekker brudd på dagens regler kan de ilegge overtredelsesgebyrer opp til ca. kr 900 000. Ved brudd på de nye reglene etter 2018, kan Datatilsynet ilegge overtredelsesgebyrer på 4 prosent av årlig global omsetning. Konsekvensene av brudd kan derfor bli store.

 

Visma Advokaters avdeling for arbeidsrett og personvern kan bistå din virksomhet med personvern. Ta gjerne kontakt i dag for en uforpliktende samtale om hvordan vi kan hjelpe deg.

Kontakt Bibbi Moen Drange på tel +47 481 76 355 eller epost

Visma Advokater er et forretningsjuridisk advokatfirma. Vi har kontorer i fem av Norges største byer og hjelper kunder over hele landet.

Advokat Oslo | Advokat Bergen | Advokat Kristiansand | Advokat Trondheim | Advokat Stavanger

Bibbi er advokatfullmektig i arbeidsrettsavdelingen til Visma Advokater. Til daglig arbeider hun med varierte rettslige problemstillinger med et spesielt fokus på arbeidsrett og personvern. Bibbi har også solid kompetanse innenfor tvangsfullbyrdelse og pengekravsrett da hun i mange år arbeidet hos Namsfogden i Oslo.
Kontakt Bibbi Moen: