NHO Mat og Drikke

Innhold

Ny personopplysningslov

Nyhet, Arbeidsrett

Publisert

Illustrasjon ifm personvern og datasikkerhet

Den nye personopplysningsloven trådte i kraft 20. juli 2018. Med dette gjennomføres EUs personvernforordning (GDPR) som gjelder bruk av personopplysninger i Norge. NHO har utarbeidet maler og veiledere som gjør det enklere for din bedrift å følge den nye loven.

I EU har reglene vært gjeldende fra 25. mai i år. Det er også fastsatt en ny personopplysningsforskrift og en egen overgangsforskrift. Videre er det kommet en ny forskrift om arbeidsgivers innsyn i e-postkasse og materiale som er lagret elektronisk. Disse reglene er omtrent like dem som allerede gjelder.

Når de nye reglene har trådt i kraft, oppheves loven og forskriften fra 2000. Det blir også slutt på ordningene med å søke konsesjoner og tillatelser. Eksisterende konsesjoner og tillatelser opphører.

Det er viktig at bedriften skaffer seg en oversikt over hva slags personopplysninger bedriften har, og hvilket grunnlag bedriften har for å behandle disse og hvordan de blir brukt. NHO har laget en mal til kartleggingsskjema, hvor man får oversikt over hvilke personopplysninger bedriften håndterer og hva slags grunnlag bedriften har for å håndtere disse opplysningene samt hvilke rutiner bedriften har for eksempel for oppbevaring, bruk og sletting av opplysningene. 

Kartleggingsskjemaet finner du på Arbinn bak innlogging

Videre har NHO laget en mal for et dokument hvor bedriften dokumenterer egne rutiner og internkontroll. Dokumentet kan bedriften bruke internt for å sørge for at den gjør det riktig i fremtiden.

Medlemmer i NHO har tilgang til vårt personvernverktøy på arbinn.nho.no, som gir både veiledning og eksempler.

Bedriften må ha et grunnlag for å behandle opplysninger om personer

For å kunne behandle personopplysninger må bedriften ha et juridisk grunnlag, og for bedrifter vil de mest aktuelle være lov, avtale, berettiget interesse eller samtykke. Skal du behandle opplysninger som er sensitive, er det strengere krav til behandlingsgrunnlag. Som arbeidsgiver skal du være særlig oppmerksom på at opplysninger om medlemskap i fagforening eller helseforhold (som allergier, sykefravær, legebesøk og graviditet) er regnet som sensitive.

Seks grunnleggende krav til behandling av opplysninger om personer

Det er seks grunnleggende krav som gjelder all behandling av alle opplysninger om personer:

  1. Bedriften må behandle opplysningene på en måte som er lovlig, rettferdig og gjennomsiktig.
  2. Bedriften må ha bestemt seg for formålet med å samle inn opplysninger.
  3. Bedriften må sørge for at opplysningene er tilpasset det formålet den har (men også at de ikke er mer omfattende).
  4. Bedriften må sørge for at opplysningene den har er korrekte.
  5. Bedriften må slette opplysninger som det ikke lenger er nødvendig å ha (alternativt kan man anonymisere opplysningene).
  6. Bedriften må lagre og bruke opplysningene slik at de ikke blir misbrukt.

Krav til risikovurdering

Bedriften må vurdere tiltak som reduserer risikoen for at reglene blir brutt. Det er derfor nødvendig å vurdere risikoen og dokumentere at man har gjort en slik vurdering, men dette trenger ikke alltid å være veldig omfattende. Man må også dokumentere hvordan man ser for seg å etterleve reglene.

Bedrifter har forpliktelser overfor de registrerte

Det er også slik at alle de man har registrert opplysninger om, skal få vite om hvordan personopplysningene behandles. De registrerte kan pålegge bedriften å slutte med eller begrense behandlingen, og de kan kreve at du sletter alle data om dem ("retten til å bli glemt"). Disse rettighetene er ikke absolutte, noen vilkår må være oppfylt. De registrerte har også rett til å få utlevert de opplysningene de selv har gitt og som er blitt lagret. Bedriftene har plikt til å gi en del informasjon til de registrerte. De registrerte skal få vite både at bedriften behandler opplysninger om dem og om de rettighetene de har.

Bedriften må derfor ha et dokument (personvernerklæring e.l.) som beskriver hvilke typer av opplysninger bedriften har og hva de brukes til. Dette skal skrives på en ryddig og forståelig måte.

NHO har laget en veileder som viser hvordan bedriftene kan gi den informasjonen som er pålagt, samt en skisse til personvernerklæring som ligger vedlagt veilederen. Du finner dette på arbinn.nho.no bak innlogging. I dette dokumentet finner du utgangspunkter for tekster til bruk for å informere dem din bedrift behandler personopplysninger om. Bedriften må selv tilpasse dokumentet til bedriftens egne forhold.

Det er bedriften som har plikter etter loven. Det er ikke mulig å outsource eller overlate ansvaret til noen andre. Men det er ikke forbudt å bruke systemløsninger eller tjenesteleverandører som håndterer opplysningene for bedriften. Den du da har avtale med regnes som "databehandler". Det er egne krav til slike avtaler, som skal sørge for at også denne databehandleren følger de reglene som gjelder for din bedrift. Du kan lese mer om databehandleravtaler på arbinn.nho.no.

 

Har du innspill eller lurer du på noe? Kontakt oss gjerne:

Fant du det du lette etter?

Fant du det du lette etter?

Gi oss gjerne en kommentar i tillegg - hvordan kan vi forbedre oss?

Takk for kommentaren!

Kommentar sendt

Hei!

Hei!

Vil du motta vårt ukentlige nyhetsbrev på e-post?

Avmeldingen er mottatt!

Meld deg på ett oppsummert nyhetsbrev:

 

Meld deg på 1 nyhetsbrev: