Visma Personvernhåndbok

– et system for dokumentasjon av bedriftens behandling av personopplysninger (GDPR)

Personvernregler/GDPR

I mai 2018 fikk vi nye regler for personvern i Norge. De nye reglene er basert på EU lovgivning og stiller langt flere og mer detaljerte krav til norske virksomheter. I tillegg kan Datatilsynet sanksjonere brudd på reglene ved å ilegge bøter på inntil 20 millioner euro, eller inntil 4 % av virksomhetens globale omsetning. Formålet med reglene er å forsøke å bremse den utviklingen man opplever med hensyn til behandling av personopplysninger.

Hvordan påvirker dette min virksomhet?

Først og fremst pålegger den nye loven virksomheter å ha kontroll med hvilke personopplysninger de behandler, samt hvorfor og hvordan de behandler personopplysninger. Det forventes at virksomheter har et kontinuerlig arbeid med og et bevisst forhold til de personopplysningene de behandler.

Ofte vil noen av de mest sensitive personopplysningene som virksomheten behandler være relatert til egne ansatte, f.eks helseopplysninger eller opplysninger om religion, politisk tilhørighet etc. Dette er opplysninger som trenger et ekstra godt vern, både med hensyn til tekniske beskyttelsestiltak, men også når det gjelder organisatoriske tiltak som begrenser hvem som skal ha tilgang til denne typen informasjon.

Videre vil særlig marked- og salgsavdelinger rundt om i Norge merke de nye reglene. Reglene stiller detaljerte krav til typen informasjon som skal gis uoppfordret i forbindelse med markedsføring, samt stiller krav til samtykket som må innhentes fra enkeltpersoner i mange tilfeller.

Hovedpunkter i Personvernreglene

  • Alle norske virksomheter har fått nye plikter og må sette seg inn i den nye lovgivningen og finne ut hvilke plikter som gjelder dem.
  • Personvernerklæringer skal oppfylle nye krav, være på et forståelig språk og gi økt åpenhet. Samtykke skal skilles tydelig fra øvrige brukervilkår.
  • Alle skal vurdere risiko og personvernkonsekvenser.
  • Alle skal bygge personvern inn i nye løsninger.
  • Personvernombud blir obligatorisk for alle ­offentlige virksomheter og for mange private virksomheter som regelmessig og systematisk behandler person­opplysninger i stort omfang.
  • Reglene gjelder også virksomheter utenfor Europa dersom de tilbyr varer eller tjenester til borgere i et EU- eller EØS-land.
  • De nye reglene pålegger databehandlere å ha rutiner for innsamling og bruk av personopplysninger.
  • Alle får nye krav til avvikshåndtering. Sikkerhetsbrudd som går ut på at uvedkommende har fått tilgang til personopplysninger, skal varsles til ­Datatilsynet innen 72 timer.
  • Forbrukere får nye rettigheter, som at de skal kunne ta med seg data fra en virksomhet til en annen, krav om at hans eller hennes personopplysninger slettes, og mulighet for å nekte markedsføring (regel om samtykke).
  • Om en virksomhet bryter reglene, kan den ilegges bot på opptil 20 millioner euro eller inntil 4 % av en virksomhets omsetning.