Hva dine ansatte må vite om GDPR
Du driver en liten bedrift med en håndfull ansatte. Dere har samlet en del kundeopplysninger både hos dere selv og hos samarbeidspartnere, det er snakk om webhotell, regnskapsprogrammer, CRM-systemer og så videre. Hva må de ansatte kjenne til om reglene?
Av: Ragnvald Holst-Larsen, Romerike Internett
5 GDPR-punkter som ansatte må forstå uansett hva de jobber med
1: Forstå hva behandlingsansvarlig og databehandler.
3: Hvilke krav er det for å informere dine kunder.
4: Bedriften må ha en personvernerklæring - hva er det viktigste med denne.
5: Databehadleravtaler med alle dataleverandører.
(Synes du forklaringen under er vanskelig så vil vi anbefale at du kjøper vårt abbonement for GDPR hjelp. Med dette abbonementet forklarer vi et tema om gangen hver måned gjennom et årshjul)
Det er vanskelig å forklare dette uten å henvise til reglene, og enn så lenge tar jeg utgangspunkt i den foreløpige oversettelsen av reglene som ligger på Datatilsynet sine sider.
1: Forstå hva behandlingsansvarlig eller databehandler er
Artikkel 4 «behandlingsansvarlig» en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes;
«databehandler» en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige
I noen tilfeller vil ditt firma være begge deler.
2: Lovlighet av lagring av data. Har kunden gitt samtykke?
Dette med samtykke viser seg å være ganske så komplisert. Når man setter seg mer inn i lovene så kan det faktisk se ut til at det for de fleste bedrifter ikke vil være nødvendig med samtykke. Det kan være svært dumt for deg som bedrift å spørre dine kunder om samtykke når det ikke er nødvendig.
Artikkel 6
f) behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn.
Dette betyr at Artikkel 6 f kan spare deg fra alt arbeid med å innhente samtykke. Se flere argumenter for og imot samtykke i artikkelen som gjeldere databehandlere. Noen bedrifter MÅ innhente samtykke, men dette er gjerne når personen som det lagres personopplysninger om ikke alltid vil ønske at slike opplysninger lagres - sensitive opplysninger m.m.. Da må man alltid ha samtykke - og til dette samtykket er det knyttet mange strenge forbehold.
Og husk:
Punkt 3. Den registrerte skal ha rett til å trekke tilbake sitt samtykke til enhver tid. Dersom samtykket trekkes tilbake, skal det ikke påvirke lovligheten av behandlingen som bygger på samtykket før det trekkes tilbake. Før det gis samtykke, skal den registrerte opplyses om dette. Det skal være like enkelt å trekke tilbake som å gi samtykke
Det er ikke lov å bruke innhentede opplysninger til å sende ut info om noe du ikke har bedt om. Har du kunder du selger alarmer til så kan du ikke på samme kundeliste sende ut info om at du selger sykler. Dette er et viktig prinsipp i den nye loven. Slutt på å lure ut epost og info. Med artikkel 6f kan du allikevel sende ut info som dine kunder vil ønske og forvente at du sender til dem ( uten ekstra samtykke, men selvfølgelig med personvern informasjon på nettsiden din)
3: Hvilke krav er det for å informere dine kunder
Artikkel 13:
1. Når personopplysninger om en registrert samles inn fra den registrerte, skal den behandlingsansvarlige på tidspunktet for innsamlingen av personopplysningene gi den registrerte følgende informasjon:
a) identiteten og kontaktopplysningene til den behandlingsansvarlige og eventuelt den behandlingsansvarliges representant,
b) kontaktopplysningene til personvernrådgiveren, dersom dette er relevant,
c) formålene med den tiltenkte behandlingen av personopplysningene samt det rettslige grunnlaget for behandlingen,
d) dersom behandlingen er basert på artikkel 6 nr. 1 bokstav f), de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart,
e) eventuelle mottakere eller kategorier av mottakere av personopplysningene
Dette punktet er det vanskelig å gjennomføre når en kunde ringer på telefon, eller en av dine ansatte har en samtale med en kunde ute på en jobb. Nettisden må iallefall ha en link til personvernerklæringen din ( se under). Det er også mulig å ha et kryss på bestillings-seddelen som kunden signerer på papir når han bestiller varer fra deg om at han har sett din personvernerklæring - men ikke bland dette med samtykke.
4: Du må ha en personvernerklæring
Personvernerklæringen er viktig fordi den gir informasjon om hva du gjør med den informasjonen og opplysningene du samler inn. Du må huske at datatilsynet kan ta kontroll og da må faktisk informasjonen du har på din pc stemme overens med informasjonen her.
Datatilsynet har laget en liste over ting som må være med.
Vi har hentet hele teksten fra den foreløpige norske oversettelsen samt av vi har laget to ulike eksempler til deg. En av utfordringene er hvor mye informasjon du skal ta med. Se menyen for personvernmal eller trykk her
5: Avtaler må lages med alle som du har datatjenester sammen med.
Som eier av data som du har samlet inn fra dine kunder eller medlemmer så har du plikt til å sørge for at de som behandler disse dataene på riktig måte - med riktig sikkerhet ( databehandlere - altså andre firmaer du får hjelp fra - eventuelt egne servere)
Vi har laget en mal du kan ta utgangspunkt i - med utgangspunkt i fra datatilsynet.
Det er fortsatt mye uklart om hvor omfattende en slik avtale skal være. Vi vil komme tilbake med mer info etter hvert som dette blir klart. FUninett har laget denne malen.
Må du ha personvernombud?
Du har kanskje hørt at dere må ha personvernombud. Dette gjelder ikke så mange private små bedrifter. Datatilsynet har laget en sjekk som du kan bruke hvis du er i tvil.
Viktig å huske
Alle bedrifter har viktige ansvar knyttet til den nye personvernloven - de vil da være behandlingsansvarlige av personopplysninger. Noen av disse pliktene skal vi nå se på. Husk at det mest sannynlig vil være flere, men det er lurt å begynne med noen. Etterhvert vil det også komme bransjenormer.
I tillegg har noen bedrifter ekstra mye ansvar - blant annet de som driver firma for å ta vare på data for andre , eller lager programvare eller jobber med sensitive opplysninger. Disse er databehandlere og har strenge regler til varsling, sikkerhetsrutiner m.m. Det kommer en egen oversikt for dem senere.
Reglene gjelder i utgangspunktet kun for personer og personopplysninger. Dette betyr at hvis du bare forholder deg til bedrifter så kan det bli noe enklere - MEN hvis du oppbevarer f.eks. navn og telefon nr om ansatte i bedrifter så vil allikevel reglene gjelde da dette er personopplysninger.
Gjelder også det du har liggende i skuffen
Reglene gjelder like strengt for personopplysninger du allerede har liggende i arkiver, på datamaskin, på mail eller i en mappe på skrivebordet. Her må det ryddes opp - og kun personopplysninger som er relevante akkurat nå er lovlig å ta vare på.
Gamle ting skal slettes eller makuleres. Husk at alle kunder, ansatte og andre som du har personopplysninger for når som helst kan be om å få se alt, samt be om at de korrigeres eller slettes.
Se også siden om databehandlere for å få en mer nyansert versjon.
Få mer GDPR-hjelp
Ta kontakt med Ragnvald Holst-Larsen på info@romerike.com for mer informasjon eller for å avtale et telefonmøte. Se vår GDPR-tjeneste her.
