Norges Bilbransjeforbund

Innhold

Oversikt over personvernregelverket

Alle bedrifter som behandler personopplysninger plikter å følge personopplysningsloven og GDPR, EUs personvernforordning som er implementert i norsk rett.

Personopplysninger er opplysninger eller vurderinger som direkte eller indirekte kan knyttes til en enkeltperson. Personopplysninger som behandles av bedrifter gjelder særlig:

  • Ansatte (eksisterende, tidligere og potensielle)
  • Kunder eller kontaktpersoner hos kunder (eksisterende, tidligere og potensielle)
  • Enkeltpersoner hos leverandører og andre samarbeidspartnere (eksisterende, tidligere og potensielle)

Personopplysninger kan ikke samles inn, registreres, sammenstilles, lagres, utleveres eller på annen måte behandles uten lovlig behandlingsgrunnlag. 

Lovlig behandlingsgrunnlag kan for eksempel være:

  • samtykke fra den registrerte
  • lovbestemmelse
  • nødvendighet for å kunne oppfylle en avtale mellom det registrerte og den som behandler personopplysningene (for eksempel om arbeider eller service på bil)
  • andre rettslige plikter (regnskapslovgivningen, rapporteringsplikter og annet), og/eller
  • ivaretakelse av en berettiget interesse der hensynet til den registrerte ikke overstiger denne berettigede interessen

Det må undersøkes i hvert enkelt tilfelle hva som er lovlig behandlingsgrunnlag.

Prinsipper for behandlingen av personopplysninger:

  • Behandlingen av opplysningene skal være lovlig, rimelig og gjennomsiktig
  • Opplysningene skal kun brukes for de formål de er samlet inn for
  • Kun relevante opplysninger skal behandles (dataminimering)
  • Opplysningene skal være korrekte
  • Opplysningene skal ikke oppbevares lenger enn formålet tilsier (krav til adekvate slettingsrutiner)
  • Personopplysningene skal behandles med integritet og i fortrolighet
  • Personopplysningene skal behandles ansvarlig

Rettigheter for den registrerte:

  • Rett til innsyn
  • Rett til informasjon når det samles inn personopplysninger, blant annet kontaktdata til behandlingsansvarlig eller dennes representant og formålet med behandlingen
  • Rett til informasjon om automatiserte avgjørelser og ved bruk av personprofiler
  • Rett til å kreve manuell behandling, med visse unntak, for eksempel der behandlingen er knyttet til oppfyllelse av kontrakt og der personvernet ivaretas på tilstrekkelig måte
  • Rett til å kreve retting
  • Rett til å motsette seg lagring av unødvendige personopplysninger
  • Rett til å bli glemt (kan kreve sletting)
  • Rett til å kreve behandlingen av personopplysninger begrenset. Om dette kreves, kan personopplysningene kun brukes med den registrertes samtykke, for å forsvare et rettskrav, for å forsvare en annens rettigheter eller for å ivareta viktige samfunnsinteresser.
  • Rett til dataportabilitet. Der behandlingen av personopplysningene er basert på samtykke, kan den registrerte kreve å få ta med seg personopplysningene til en annen virksomhet, typisk en annen tjenesteleverandør.
  • Rett til å motsette seg behandling av personopplysninger. Da må den behandlingsansvarlige stanse bruken av personopplysningene og slette dem. Dette er mest praktisk ved profilering, det vil si at den registrerte kan motsette seg at det utvikles personprofil(er) av ham/henne.

Som medlem av NBF kan du benytte deg av ulike verktøy og maler, som du finner på Arbinn.no.