Loading…

Personvern & GDPR

Vi bistår virksomheter med etterlevelse av personvernregelverket til svært konkurransedyktige priser
Kontakt oss
Slik skriver du en personvernerklæring

Slik skriver du en personvernerklæring

Slik skriver du en personvernerklæring

Virksomheter som samler inn og behandler personopplysninger om kunder, ansatte og andre personer, har plikt til å informere de registrerte om behandlingen. Informasjonen gis gjerne i en personvernerklæring, og skal gjøre de registrerte i stand til å forstå hvordan opplysningene deres behandles, hva de brukes til, hvilke rettigheter de har og hvordan disse rettighetene kan tas i bruk overfor virksomheten.

Åpenhet om behandling av personopplysninger er et sentralt grunnprinsipp i EUs personvernforordning (GDPR). Regelverket stiller strenge krav til hva de registrerte skal informeres om og hvordan informasjonen skal gis. Informasjonen skal være lett tilgjengelig og utformet på en klar, tydelig og forståelig måte. Dersom virksomheten behandler personopplysninger om barn, skal informasjonen være tilpasset barns forståelse og nivå.

 

Hva må en personvernerklæring inneholde?

I henhold til GDPR artikkel 13 og 14 må personvernerklæringen minimum inneholde følgende informasjon:

  • Navn og kontaktopplysninger til den behandlingsansvarlige
  • Kontaktopplysninger til personvernombudet – dersom relevant
  • Hva som er formålet med behandlingene, dvs. hva opplysningene konkret skal brukes til
  • Hva som er behandlingsgrunnlaget iht. GDPR art. 6 og 9
    • Dersom behandlingen er basert på en interesseavveining, jf. GDPR art. 6 nr. 1 f), skal det gis informasjon om hva som er virksomhetens berettigede interesse i å behandle opplysningene og informasjon om selve interesseavveiningen
    • Hvis behandlingen er basert på en lovfestet eller avtalefestet plikt til å gi opplysningene, eller opplysningene er nødvendig for å oppfylle en avtale med den registrerte, jf. GDPR art. 6 nr. 1 b), skal det gis informasjon om hva som er konsekvensene dersom den registrerte ikke gir opplysningene, for eksempel at avtalen ikke kan oppfylles
  • Hvilke typer personopplysninger som behandles for de ulike formålene, for eksempel navn, adresse, fødselsnummer, IP-adresse, kundenummer, lokasjon, bruksmønster etc.
  • Hvis opplysningene hentes fra andre kilder enn den registrerte selv, skal det gis informasjon om hvilke kilder opplysningene kommer fra
  • Hvor lenge opplysningene vil bli lagret, dvs. konkrete slettefrister
  • Hvem opplysningene utleveres til, f.eks. databehandlere og offentlige myndigheter
  • Om opplysningene overføres til land utenfor EU/EØS-området (tredjeland) og hvilket overføringsgrunnlag som er benyttet
  • Hvorvidt det benyttes automatiserte avgjørelser inkl. profilering, og informasjon om den underliggende logikken, betydningen og eventuelle konsekvenser behandlingen kan medføre for den registrerte
  • De registrertes rett til å trekke tilbake et samtykke, kreve innsyn, retting, sletting, begrensning, gjøre innsigelse eller kreve dataportabilitet, og hvordan de registrerte skal gå frem for å gjøre bruk av sine rettigheter overfor virksomheten
  • Adgangen til å klage til Datatilsynet

 

Slik utarbeider du en personvernerklæring

 

  1. Få oversikt over bedriftens behandlinger av personopplysninger

Første steg er å få på plass en skriftlig oversikt over alle behandlinger av personopplysninger som gjøres i virksomheten, herunder hvilke typer opplysninger virksomheten behandler, hva de brukes til, hva som er behandlingsgrunnlaget, hvem de utleveres til, hvor de lagres, når de slettes etc. Oversikten bør minimum omfatte kravene i GDPR artikkel 30.

Sørg for å få med alle behandlinger knyttet til kunder, ansatte, besøkende på virksomhetens nettsider og bruk av systemer (logginformasjon), samt opplysninger om kontaktpersoner hos leverandører og samarbeidspartnere.

En slik kartlegging vil gi virksomheten god oversikt over behandlingene den utfører og brukes som underlag for å skrive personvernerklæringen.

 

  1. Vurder hvordan informasjonen skal gis til de registrerte

Neste steg er å vurdere hvordan informasjonen skal gis og hvilke informasjonskanaler som er best egnet til å oppfylle informasjonsplikten.

For de fleste virksomheter vil det være behov for å skrive en ekstern og intern personvernerklæring. Den eksterne erklæringen omfatter gjerne informasjon om virksomhetens kunder, jobbsøkere, besøkende på nettsiden, leverandører og eventuelt samarbeidspartnere. Den interne personvernerklæringen vil i all hovedsak omfatte informasjon om virksomhetens ansatte.

 

  1. Sørg for at personvernerklæringen er forståelig for målgruppen

Personvernerklæringen skal utformes på et klart og enkelt språk som gjør at de registrerte forstår hvordan opplysningene deres behandles. Når informasjonen er rettet mot barn skjerpes disse kravene ytterligere.

Dersom virksomheten bruker et komplisert eller uklart språk i personvernerklæringen kan dette alene medføre brudd på GDPR selv om selve innholdet oppfyller kravene. Man bør derfor unngå å bruke juridisk eller teknisk språk i erklæringene, og passe på å forklare ord og uttrykk som kan være vanskelig å forstå for de registrerte.

 

  1. Gjør personvernerklæringen lett tilgjengelig for de registrerte

Personvernerklæringen skal være lett tilgjengelig for den registrerte. Den eksterne personvernerklæringen bør publiseres på virksomhetens nettsider. Det er gjerne her kunder, jobbsøkere og besøkende først vil henvende seg for å finne informasjonen de trenger. Informasjon til ansatte kan f.eks. publiseres på intranett eller settes inn i personalhåndboken.

Sørg også for å henvise til personvernerklæringen i alle kanaler, f.eks. ved å sette inn en henvisning til personvernerklæringen i kjøpsbekreftelsen til kunden, i samtykkeerklæringer, og i arbeidsavtalen til de ansatte. På den måten sikrer du at informasjonsplikten blir oppfylt i alle situasjoner, og den registrerte kan enkelt finne frem til mer informasjon om behandlingen av deres personopplysninger når de måtte ønske det.

Hvilke konsekvenser kan brudd på informasjonsplikten føre til?

Manglende oppfyllelse av plikten til å gi informasjon, eller publisering av personvernerklæringer som inneholder tydelige mangler, vil etterlate et dårlig inntrykk av bedriften om at man ikke har kontroll over egne forpliktelser, eller rett og slett ikke tar personvern på alvor.

Dette kan blant annet føre til at bedriften velges bort til fordel for andre bedrifter som gir et bedre førsteinntrykk. For å sikre at man når opp i konkurransen om kundene bør man sørge for å gjøre en god jobb med personvernerklæringene.

I ytterste konsekvens kan også brudd på informasjonsplikten føre til at bedriften ilegges bøter fra Datatilsynet. Et eksempel på dette har vi fra det polske Datatilsynet som ila Bisnode en bot på 220.000 euro for manglende overholdelse av GDPR artikkel 14.

Kontakt oss gjerne dersom du ønsker bistand til å utarbeide en personvernerklæring.