Søk

Forsiktig med personopplysninger!

Det er i utgangspunktet forbudt å behandle personopplysninger, enten dette skjer ved innsamling, registrering, sammenstilling, lagring, utlevering eller på annen måte. Brudd på forbudet kan koste bedriftene dyrt.

Personopplysninger er i personopplysningsloven definert som "opplysninger og vurderinger som kan knyttes til en enkeltperson". Dette kan være ansatte, kunder samt ansatte hos leverandører og andre forretningsforbindelser, men altså kun fysiske personer (ikke selskaper og andre organisasjoner).

Personopplysningsloven stiller krav til lovlig behandlingsgrunnlag for slik behandling. Virksomheten skal videre kunne vise til internkontroll og dokumentasjon av hvordan personopplysninger behandles i virksomheten. Brudd på pliktene pålagt etter personvernregelverket kan medføre sanksjoner. I EU sluttføres nå arbeidet med å endre personvernregelverket. Den norske personvernlovgivningen vil måtte endres i tråd med det EU vedtar på området. Det er ventet at endringene trer i kraft i 2018. Endringene vil blant annet medføre en kraftig skjerping av det ansvaret virksomheter kan ilegges ved regelbrudd. Datatilsynet vil få hjemmel til å ilegge gebyr på opptil 4 % av virksomhetens årlige, globale omsetning for brudd på regelverket. Det er derfor viktigere enn noensinne å sørge for at alt er på stell når det gjelder virksomhetens håndtering av personopplysninger.

Med endringene innføres strengere krav til dokumentasjon for at regelverket overholdes og at de registrerte personers rettigheter sikres. Det innføres fire nye grunnleggende rettigheter til alle personer:

  1. Rett til å få behandlingen av sine personopplysninger begrenset
  2. Rett til dataportabilitet, det vil si rett til overføring av egne personopplysninger fra en databehandler til en annen
  3. Rett til å nekte behandling av personopplysninger
  4. Rett til å nekte profilering og automatiserte avgjørelser

I tillegg vil fortsatt blant annet følgende rettigheter gjelde for den registrerte personen:

  1. Rett til innsyn
  2. Rett til retting av uriktige personopplysninger
  3. Rett til sletting ("rett til å bli glemt")
  4. Generell rett til informasjon om virksomhetens behandling av personopplysninger, uavhengig om du selv er registrert eller ikke

Det kreves altså omfattende dokumentasjon og rutiner for å sikre disse rettighetene. I NHO-systemet arbeides det med å ferdigstille et generelt anvendelig personvernverktøy som skal bidra til riktig etterlevelse av regelverket. Det skal bestå av tre deler: Første del er en mal for kartlegging av hvilke personopplysninger virksomheten behandler og hvordan opplysningene behandles. Andre del er en mal for avviksanalyse, det vil si en analyse av om datakartleggingen avdekker avvik fra kravene som ligger i personvernregelverket. Siste del er et internkontrolldokument. Dette inneholder beskrivelser av rutiner som virksomheten skal implementere. Det er nødvendig å ha på plass både faktisk etterlevelse av disse rutinene og dokumentasjon som beskriver rutinene. Personvernverktøyet vil, når det er korrekt utfylt, ta hånd om det vesentligste av dokumentasjonskravene for medlemsbedriftene.

Vi kommer tilbake med mer informasjon om personvernverktøyet når det gjøres tilgjengelig for medlemsbedriftene.

Postadresse: Fakturaadresse:
Postboks 5486 Norges Bilbransjeforbund
Majorstuen, 0305 Oslo NHO SP SCANNING
Tlf: +47 22 54 21 00 PB 5250 Majorstuen
firmapost@nbf.no 0303 Oslo
Besøksadresse:  
Middelthunsgate 27, Oslo