Forberedt på de nye personvernreglene

Advokat Peter Wright understreker at man aldri blir ferdig med å jobbe med digital sikkerhet og personvern – rutinene må jevnlig oppdateres.

På dagens næringslivslunsj fikk vi en innføring i de nye personvernreglene (GDPR) og behandling av personopplysninger.


Publisert 15.03.18


Økte dokumentasjonskrav

Advokat Peter Wright var klar på at omtrent alle virksomheter og organisasjoner må forholde seg til de nye personvernreglene (GDPR) som trer i kraft snart.

– GDPR får konsekvenser for hele virksomheten. Dere må ta en større del av ansvaret for å behandle personopplysninger både overfor ansatte, kunder, medlemmer, leverandører og andre, utfordret Wright.

Med «behandling» menes nesten enhver befatning, for eksempel innhenting, lagring, registrering, sammenstilling og bruk. Start gjerne med å kartlegge hvilke personopplysninger som behandles i dag, var første tips. Det kan for eksempel være kontaktinformasjonen til kunder, opplysninger om ansattes bankforbindelser og skattetrekk, bilnummer, kunders epostadresser, handlehistorikk, info samlet inn gjennom virksomhetens nettside osv.

Utarbeid en forståelig personvernerklæring

I tillegg til å kartlegge behandlingen av personopplysningene, så må det utarbeides en forståelig personvernerklæringer. Den skal forklare hvordan personopplysningene samles inn, hva dataen skal brukes til og rutiner for behandling, sletting osv. Det er greit å legge ut erklæringen lett tilgjengelig på virksomhetens hjemmeside. Ofte trengs flere erklæringer, både ansatte og kunder/brukere må ivaretas.

Innspill til tekst i personvernerklæring, må tilpasses den enkelte virksomhet:

Daglig leder (eller annen som har fått myndighet) er på vegne av (selskapet navn) behandlingsansvarlig for selskapets behandling av personopplysninger. Vi lagrer følgende personopplysninger om våre kunder (eller andre gruppper). Navn, adresse, kontaktperson og epostadresse osv. Vi lagrer i tillegg adferdsmønster på vår nettside, det vil si opplysninger om hvordan den enkelte navigerer på siden. Formålet er å oppfylle avtale om kjøp (eller annet formål; medlemskap, yte rådgivning, helsehjelp, opplæring osv.).

Eksempler på personvernerklæringer: Den Norske Turistforening og Datatilsynes personvernerklæring.

Les også: Digital sikkerhet

Link til presentasjon Peter Wright GDPR


Det vil bli arrangert et mer utdypende infokurs om GDPR 6. april.