Startpakke for nye virksomheter

Startpakke for nye virksomheter

Du skal starte en virksomhet og må sørge for å følge de nye personvernreglene som kommer. Hva må du gjøre for å ta vare på personopplysningene til kunder, brukere, medlemmer og dine egne ansatte?

Først og fremst: Det er viktig å tenke personvern fra starten. Det gjør det mye lettere og billigere å lage rutiner, systemer og en organisasjon som ivaretar personvernet på en god måte.

Innebygd personvern blir nå en plikt. Når rutiner og systemer utarbeides, bør du derfor se på vår veileder om innebygd personvern.

Her er 14 ting du må gjøre før du begynner å behandle personopplysninger:

  1. Sett deg inn i personvernprinsippene. Disse prinsippene er juridisk bindende, så du må alltid ha dem i bakhodet.
  2. Hvilke personopplysninger behandler du? Identifiser de ulike kategoriene opplysninger virksomheten behandler. Dette kan for eksempel være kontaktinformasjonen til de ansatte, kontaktinformasjonen til kunder, opplysninger om ansattes bankforbindelser og skattetrekk, kunders handlehistorikk, IP-adresser samlet inn gjennom virksomhetens nettside, kundesegmenter osv. Vær nøye slik at du ikke hopper over noe.
  3. Definer et klart formål med kategoriene av personopplysninger. Én kategori kan noen ganger ha flere formål, men du kan ikke endre formålet i særlig grad når behandlingen har begynt. Formålet må ikke være for vidt eller ullent – man skal alltid konkretisere. I stedet for å si at kunders handlehistorikk brukes til «administrasjon ol.», kan man for eksempel si at handlehistorikk lagres av hensyn til lovpålagt bokføringsplikt. I stedet for å si at segmentering utføres for «å levere gode tjenester», kan man heller si at segmentene brukes til direkte markedsføring, dersom det er tilfellet.
  4. Nå sitter du med en oversikt over kategorier av personopplysninger som brukes til forskjellige formål, altså ulike behandlinger av personopplysninger. Alle disse behandlingene må ha et behandlingsgrunnlag i artikkel 6 i personvernforordningen. Neste trinn er derfor å identifisere hvilket behandlingsgrunnlag som passer best til de ulike behandlingene. Hver behandling kan kun ha ett behandlingsgrunnlag, og man kan normalt ikke bytte behandlingsgrunnlag underveis. Dersom ingen av behandlingsgrunnlagene kan brukes, er behandlingen ulovlig.
  5. Dersom du behandler særlige kategorier av personopplysninger (sensitive personopplysninger og biometri), må behandlingene også ha behandlingsgrunnlag i artikkel 9 i personvernforordningen.
  6. Finn ut hvordan du kan overholde informasjonsplikten best mulig. Informasjonsplikten er forklart i personvernforordningen artikkel 12–14.
  7. Sett deg inn i hvilke andre rettigheter den enkelte har. Virksomheten har plikt til å sørge for systemer som sikrer at den enkelte faktisk får sine rettigheter innen tidsfristen. Det betyr for eksempel at man må ha gode rutiner, systemer og kompetanse til å vurdere krav fra den enkelte.
  8. Skal en databehandler behandle personopplysninger på dine vegne? Husk databehandleravtale etter artikkel 28 i personvernforordningen.
  9. Vil personopplysningene forlate EØS-området? Les hvilke regler som gjelder overføring til utlandet i personvernforordningen kapittel V. Veiledningen vår om overføring av personopplysninger til tredjeland etter dagens regler kan være en grei innfallsvinkel, siden de nye reglene bygger på de samme prinsippene, men vær obs på at de nye reglene er litt annerledes.
  10. Vurder om du har plikt til å gjennomføre en vurdering av personvernkonsekvenser.
  11. Vurder om du må ha personvernombud.
  12. Du har plikt til å beskytte personopplysningene, altså ha informasjonssikkerhet. Ta en titt på vår veileder etter dagens regler når du planlegger hvilke sikkerhetstiltak din virksomhet må ha. Du må også legge en plan for hvordan du skal overholde pliktene til avviksbehandling når noe går galt. Se de nye kravene til avviksbehandling i personvernforordningen artikkel 33 og 34.
  13. Du må ha rutiner som gjør deg i stand til å etterleve alle plikter etter loven. Du må dermed ha en internkontroll. Se gjerne vår veiledning om internkontroll etter dagens regler. Husk også at de fleste virksomheter har plikt til å føre protokoll over behandlingsaktiviteter etter personvernforordningen artikkel 30.
  14. Sett deg inn i hele personvernforordningen og se på utkast til ny personopplysningslov.

Nye personvernregler i 2018

I løpet av 2018 får Norge og Europa nye personvernregler. Dette vil gi en mye mer helhetlig behandling av folks personopplysninger. Vi har samlet all informasjon om dette på en egen samleside. Der finner dere all informasjon vi har - og siden oppdateres fortløpende.

Nye personvernregler i 2018

Personopplysningsloven med personvernforordningen

Den nye personopplysningsloven som er vedtatt i Norge er fremdeles ikke trådt i kraft (skjer tidligst i juli), men nå er delen med nasjonale tilpasninger tilgjengelig på lovdata.no. 

Her finner dere personopplysningsloven med nasjonale tilpasninger (lovdata.no)

Her finner dere delen med hele personvernforordningen (Fortalen kommer imidlertid først, så dere må skrolle et stykke ned før dere finner Artikkel 1)

Den offisielle personvernforordningen - General Data Protection Regulation (engelsk, pdf)