Hva slags krav stiller Personvernloven/GDPR til dokumentasjon?
Hver bedrift er en "behandlingsansvarlig", som har forpliktelser etter personvernlovgivningen.
Hver bedrift er en "behandlingsansvarlig", som har forpliktelser etter personvernlovgivningen.
Dette ansvaret kan ikke settes ut eller på annen måte overlates til andre. Men det er fullt mulig å bruke tjenesteleverandører, som for eksempel leverer lønns- og datasystemer til bedriften. Slike tjenesteleverandører regnes som "databehandler". Det er egne krav til avtaler med databehandlere.
Du finner informasjon om og mal for databehandleravtale her
Alle behandlingsansvarlige plikter å gi en del informasjon til dem bedriften har personopplysninger om (de "registrerte"). Dette vil for eksempel gjelde de ansatte i bedriften, men også andre personer bedriften har personopplysninger om, som for eksempel kunder og leverandører. De registrerte skal få vite både at bedriften behandler opplysninger om dem og om de rettighetene de har. Bedriften må derfor ha et dokument (personvernerklæring e.l.) som beskriver hvilke typer av opplysninger bedriften har og hva de brukes til. Dette skal skrives på en ryddig og forståelig måte.
Vi har mer informasjon om personvernerklæring her
Det er videre et generelt krav til dokumentasjon av etterlevelsen av personvernreglene. NHO har derfor utarbeidet et personverktøy, som vil passe for de fleste bedrifter uten spesielle personvernproblemstillinger. NHOs personvernverktøy inneholder blant annet et kartleggingsskjema og et personverndokument som inneholder mal for rutiner og internkontroll. Disse må tilpasses hver enkelt bedrift.
Gi oss gjerne en kommentar i tillegg - hvordan kan vi forbedre oss?