Spørsmål og svar om GDPR

Spørsmål og svar om GDPR – personvernordningen

FAQ

” Når du har kontroll på GDPR er du i forkant ovenfor dine konkurrenter, samtidig som din virksomhet øker tillit hos dine kunder, leverandører og øvrige samarbeidspartnere “. 

Er GDPR pålagt i alle virksomheter?

Ja, så fremt virksomheten behandler og oppbevarer personopplysninger på klienter, ansatte, medlemmer og andre, så er man pålagt å følge loven om personvern. Det er knapt mulig å drive en virksomhet uten å behandle personopplysninger, så dette gjelder praktisk talt alle. Når du har kontroll på GDPR er du i forkant ovenfor dine konkurrenter, og du stiller blant annet sterkere i anbudssituasjoner hvor GDPR – dokumentasjon etterspørres. Samtidig øker virksomheten seriøsiteten og tilliten hos dine kunder, leverandører og øvrige samarbeidspartnere. 

Hvilken dokumentasjon må jeg ha ved eventuell kontroll fra Datatilsynet?

Først og fremst; dokumentasjon er det første Datatilsynet ber om – og gjennomgår ved et tilsyn i virksomheten. Dokumentasjonen er viktig å ha på plass for å redusere risikoen for at virksomheten bryter loven og unngår overtredelser, bøter og omdømmetap.  Du må sørge for at virksomheten har tilstrekkelig dokumentasjon, og verktøy i form av for eksempel erklæringer og internkontrollsystem/protokoll som kan framvises ved kontroll eller etterspørsel.  

Kan min virksomhet bli klaget inn til Datatilsynet  om jeg ikke har GDPR?

Ja, virksomheten kan bli klaget inn til Datatilsynet. Først og fremst så er det viktig å nevne at du er lovpålagt å innføre GDPR i virksomheten slik at du viser overfor ansatte, klienter og andre at du ivaretar deres sikkerhet i forbindelse med personvern. Dette kan du ikke som virksomhet unnlate å gjøre, og man må selvsagt sørge for at man ikke blir klaget inn til Datatilsynet og bli påført sanksjoner. Det handler om å følge lovverket.
Ved brudd på loven om personvernet, så kan både klienter, samarbeidspartnere, ansatte og andre klage virksomheten inn til Datatilsynet

Kan regnskapskontoret mitt ordne GDPR for meg?

Regnskapskontor utfører normalt ikke leveranser av GDPR – dokumentasjon, så det er svært tvilsomt at de kan hjelpe deg. Regnskapskontor har selv sine forpliktelser med å overholde GDPR og personvernordningen på lik linje med andre virksomheter. I tillegg behandler også regnskapskontor opplysninger på vegne av andre. I den forbindelse må de sørge for å benytte databehandleravtale på sine EGNE klienter.
(Du er klienten i dette tilfellet, og du er pålagt å be om databehandleravtale fra ditt regnskapskontor, så fremt de behandler personopplysninger på vegne av deg). 

Hva er rettighetene til en person som vi oppbevarer opplysninger på?

Med den nye loven har personer store rettigheter. Ved forespørsel så er virksomheten for eksempel forpliktet til å gi fra seg all informasjon som er registrert på en person. Dette er personens innsynsrett. Likeledes kan personer be om å bli slettet eller at informasjonen som oppbevares skal begrenses, endres eller overføres til andre virksomheter. Ved henvendelser fra personer, så må du altså ha “ting på stell” i virksomheten. 

Er det behov for personvernombud i virksomheten? 

Flere offentlige myndigheter og organer er pålagt å opprette eget personvernombud. I tillegg er også mange virksomheter pålagt å ha eget ombud. Dette gjelder for eksempel virksomheter som behandler sensitive personopplysninger. Ved å dedikere en person i virksomheten, eller ved å benytte eksternt personvernombud,  får dere ytterligere kontroll med GDPR arbeidet i virksomheten. 

Trenger jeg GDPR når jeg ikke har hjemmeside? 

JA, selv om du ikke har hjemmeside i virksomheten, har du et ansvar så fremt du behandler personopplysninger på klienter, medlemmer, ansatte og andre. Hjemmesiden er en av kanalene man må benytte for å opplyse om personvernet, for eksempel mot klienter og andre som henvender seg via en hjemmeside. Har du ikke egen hjemmeside, så må opplysninger om personvernet til klienter og andre som henvender seg til virksomheten framkomme på annen måte. Kort sagt; om du ikke har hjemmeside, så kan du ikke fraskrive deg ansvaret du har som virksomhet når det gjelder GDPR.  

Trenger jeg GDPR når jeg tar vare på “bare noen få” personopplysninger?

JA, selv om du bare samler inn få personopplysninger må du uansett  ha GDPR i virksomheten.
Man kan gjerne tenke at man som virksomhet oppbevarer lite opplysninger, men gjør du egentlig det? Behandler man opplysninger på ansatte, klienter og andre, så oppbevares det ofte mye sensitiv informasjon.

Hva er et sikkerhetsbrudd?

Et sikkerhetsbrudd kan forekomme dersom:

– Virksomheten ikke har fullstendig oversikt over behandling av personopplysninger. 

– Ikke autoriserte personer får tilgang til personopplysninger.

– At en ansatt bevisst, eller ubevisst, videresender informasjon som er av sensitiv art.

– At du eller en ansatt blir frastjålet, mister eller har forlagt en telefon, PC, minnepenn, ansattperm eller en klientperm som inneholder personopplysninger.

– Hackerangep / dataangrep som gjør at opplysninger kommer på avveie.

– At det mangler databehandleravtale .

– Å kaste eller kvitte seg med personopplysninger uten at disse makuleres eller slettes.

Trenger jeg databehandleravtale?

Du som virksomhet, og som benytter virksomheter som behandler personopplysninger på vegne av deg, må opprette en databehandleravtale  fra de det gjelder. (Dette kan være regnskapskontoret, IT leverandører, programvareleverandører og andre).

Databehandleravtale  trenger du som virksomhet dersom du på vegne av andre virksomheter behandler personopplysninger. Databehandleravtale kan f.eks benyttes for programvaretilbydereIT leverandørermarked- og reklamebyråhjemmesideleverandører og regnskapskontor.
De som direkte behandler opplysninger på vegne av andre er lovpålagt å sørge for at det foreligger en databehandleravtale .

Er jeg innenfor lovverket når jeg har personvernerklæring på hjemmesiden min? 

Personvernerklæring på hjemmesiden er en god start, men er langt fra tilstrekkelig. 
Det er også viktig å skille mellom personvern i forbindelse med Cookies og en personvernerklæring for innhenting og oppbevaring av personopplysninger. (Les om cookies under).  

Hva er cookies og informasjonskapsler?

Stort sett alle nettpubliseringsverktøy bruker cookies for å registrere innloggingsdetaljer, antall besøk på siden og hvordan man beveger seg på et nettsted. Den som står bak informasjonskapselen, altså den behandlingsansvarlige, kan tilpasse tjenestene sine ut fra informasjonen som lagres. Svært mange bruker også cookies fra Google Analytics, som er et verktøy som gir mer detaljert informasjon om brukermønstre på siden.

Besøkende på nettsiden din skal informeres om det benyttes cookies. Det gjøres oppmerksom på at dataen som hentes gjennom cookies er som oftest anonymisert og benyttes kun til å avlese besøk på hjemmesiden.
Cookies går under Ekomparagrafen. Les mer om Ekomloven her.

En erklæring som framkommer på hjemmesiden, og som omhandler cookies, er på langt nær tilstrekkelig for å informere klienter som besøker hjemmesiden din. Du må i tillegg ha en ordinær personvernerklæring som sier konkret om hvilke opplysninger du innhenter for å opprette f.eks et kundeforhold, medlemskap og annet. Også generelle brukervilkår og betingelser må være adskilt fra den ordinære personvernerklæringen.

Hva er konsekvensene for ikke å følge lovverket om GDPR? 

GDPR handler først og fremst om trygghet for dine ansatte, kunder og samarbeidspartnere. Deretter er det virksomhetens renommè og tillit som kan svekkes om ikke man har GDPR på stell. Det skal ikke være noen  virksomheter som har “råd” til å unngå å ta GDPR på alvor. Ved brudd på regelverket så er det Datatilsynet som gir virksomheten sanksjoner og bøter på opptil 4% av den totale omsetningen. Ved grove brudd så kan bøtene bli vesentlig større. Det kan også påløpe erstatningsplikt for den som bryter loven og erstatning for “tort og svie”.

Er det mye jobb for virksomheten min å overholde GDPR?

Nei. Har du verktøyene du trenger for å få GDPR arbeidet på plass, så har du allerede kommet langt.
Jobben kan bli vesentlig større om du får tilsyn og sanksjoner for ikke å ha GDPR på stell. Det viktigste er at du etter beste evne forsøker å følge Datatilsynets føringer på hvordan man skal utøve best mulig GDPR – arbeid. Det finnes gode verktøy i markedet, samt god støtte fra advokater, revisjonsselskaper og andre aktører som hjelper deg å få dette på plass. Du kan i tillegg benytte eksternt personvernombud. 

Hva kan dere i GDPRGODKJENT bistå med? 

Vi kan avhjelpe virksomheten med å få på plass verktøyene du trenger rundt GDPR.
Ved bruk av våre dokumenter, erklæringer, veiledere og internkontroll så er du godt rustet for å ivareta personvernet i virksomheten. Vi har tilrettelagt tjenesten slik at du på en enkel og forståelig måte håndterer GDPR i henhold til Datatilsynets føringer på hvordan GDPR skal utføres i virksomheten. 

Har du spørsmål, eller ser behov for å få hjelp til å innføre GDPR, så kontakt oss gjerne.

 KONTAKTSKJEMA