Sjekkliste

Sjekkliste

Du har en virksomhet og må sørge for å følge personvernreglene. Hva må du gjøre for å ta vare på personopplysningene til kunder, brukere, medlemmer og dine egne ansatte?

Her er en oversikt over noe av det du må gjøre før du begynner å behandle personopplysninger:

  1. Sett deg inn i hele personopplysningsloven med forordning.
  2. Sett deg inn i personvernprinsippene. Disse prinsippene er juridisk bindende, så du må alltid ha dem i bakhodet.
  3. Hvilke personopplysninger behandler du? Identifiser de ulike kategoriene opplysninger virksomheten behandler. Dette kan for eksempel være kontaktinformasjonen til de ansatte, kontaktinformasjonen til kunder, opplysninger om ansattes bankforbindelser og skattetrekk, kunders handlehistorikk, IP-adresser samlet inn gjennom virksomhetens nettside, kundesegmenter osv. Vær nøye slik at du ikke hopper over noe.
  4. Definer et klart formål med kategoriene av personopplysninger. Én kategori kan noen ganger ha flere formål, men du kan ikke endre formålet i særlig grad når behandlingen har begynt. Formålet må ikke være for vidt eller ullent – man skal alltid konkretisere.
  5. Neste trinn er å identifisere hvilket behandlingsgrunnlag som passer best til de ulike behandlingene. Hver behandling kan kun ha ett behandlingsgrunnlag, og man kan normalt ikke bytte behandlingsgrunnlag underveis. Dersom ingen av behandlingsgrunnlagene kan brukes, er behandlingen ulovlig.
  6. Dersom du behandler særlige kategorier av personopplysninger (sensitive personopplysninger og biometri), må behandlingene også ha behandlingsgrunnlag i artikkel 9 i personvernforordningen.
  7. Finn ut hvordan du kan overholde informasjonsplikten best mulig.
  8. Sett deg inn i hvilke andre rettigheter den enkelte har. Virksomheten har plikt til å sørge for systemer som sikrer at den enkelte faktisk får sine rettigheter innen tidsfristen. Det betyr for eksempel at man må ha gode rutiner, systemer og kompetanse til å vurdere krav fra den enkelte.
  9. Det er viktig å tenke personvern fra starten. Det gjør det mye lettere og billigere å lage rutiner, systemer og en organisasjon som ivaretar personvernet på en god måte. Innebygd personvern er nå en plikt. Når rutiner og systemer utarbeides, bør du derfor se på vår veileder om innebygd personvern.
  10. Skal en databehandler behandle personopplysninger på dine vegne? Husk databehandleravtale!
  11. Vil personopplysningene forlate EØS-området? Les hvilke regler som gjelder overføring til utlandet i personvernforordningen kapittel V. Veiledningen vår om overføring av personopplysninger til tredjeland etter den gamle personopplysningsloven kan være en grei innfallsvinkel, da begge regelsettene bygger på de samme prinsippene, men vær obs på at der er ulikheter.
  12. Vurder om du har plikt til å gjennomføre en vurdering av personvernkonsekvenser.
  13. Vurder om du må ha personvernombud.
  14. Du må ha rutiner som gjør deg i stand til å etterleve alle pliktene etter loven. Du må derfor ha en internkontroll. Du har også plikt til å beskytte personopplysningene, altså ha informasjonssikkerhet. Se gjerne vår veiledning om internkontroll og informasjonssikkerhet etter den gamle personopplysninsloven når du planlegger hvilke sikkerhetstiltak din virksomhet må ha.
  15. Du må også legge en plan for hvordan du skal overholde pliktene til avviksbehandling når noe går galt. Se de nye kravene til avviksbehandling i personvernforordningen artikkel 33 og 34.
  16. Husk også at de fleste virksomheter har plikt til å føre protokoll over behandlingsaktiviteter.
  17. Du finner forøvrig alle pliktene en virksomhet har når den skal behandle personopplysninger på denne siden

Personopplysningsloven med personvernforordningen

Den nye personopplysningsloven har nå trådt i kraft. Her finner dere regelverket: 

Personopplysningsloven med nasjonale tilpasninger (lovdata.no)

Personvernforordningen - som er en del av personopplysningsloven (Fortalen kommer imidlertid først, så dere må skrolle et stykke ned før dere finner artikkel 1)

Den offisielle personvernforordningen på engelsk - General Data Protection Regulation (pdf)

15