GDPR: Nye regler for personvern fra mai 2018

Alle bedrifter er lovpålagt å håndtere kundelister, ansattopplysninger og andre personopplysninger på en sikker måte. Den nye personvernforordningen som kommer i 2018 strammer inn på dette regelverket.

Alle bedrifter er lovpålagt å håndtere kundelister, ansattopplysninger og andre personopplysninger på en sikker måte. Den nye personvernforordningen som kommer i 2018 strammer inn på dette regelverket.

Informasjon fra BNL:

Den nye personvernforordningen trer i kraft 25. mai 2018. Reglene gjelder alle bedrifter som behandler personopplysninger. Har man kunder, leverandører, eller ansatte, behandler man i praksis opplysninger om privatpersoner

Datatilsynet har skrevet en oppsummering her om hva som er nytt med den nye forordningen.

Elektroniske mannskapslister utløser personvernloven
BNL venter på at Arbeidstilsynet og Datatilsynet skal lage en veileder for hvordan vi skal håndtere byggherreforskriften og personvernloven sammen.  Når veilederen foreligger, vil BNL sammen med bransjene i byggenæringen lage en enkel veileder for bedriftene for hvordan bedriftene i byggenæringen enklest skal håndtere lovene.

Lovlig håndtering av person-opplysninger i tre trinn (Verktøy)
NHO har utarbeidet et standardisert personvernverktøy som gjør det enklere for medlemsbedriftene å oppfylle de lovpålagte kravene for håndtering av personopplysninger.. Verktøyet består av tre trinn. Til hvert trinn følger det en veileder du bør lese grundig. I tillegg har NHO utarbeidet maler for skjemaer du vil trenge underveis.

Du finner verktøyet her.

Hvorfor trenger du dette verktøyet?
Du risikerer store bøter

Det stilles i dag omfattende krav til norske virksomheters håndtering av personopplysninger. Enda strengere EU-regler er på vei, og vil kunne gjelde for norske virksomheter fra 2018. Datatilsynets inspeksjoner tyder på at mange virksomheter kjenner personvernkravene for dårlig.

Manglende oppfølging av personvern kan bli kostbart – både økonomisk og omdømmemessig. Personvern er et hett tema i samfunnsdebatten, og noe både ansatte og fagforeninger er opptatt av. I dag kan Datatilsynet gi bøter på ca 900 000 kroner per regelbrudd. Det nye EU-regelverket som er på vei legger opp til at bedrifter får større ansvar for personvern, samtidig som det åpnes for langt strengere sanksjoner.

I verste fall kan overtredelser av regelverket sanksjoneres med bøter på mellom to til fire prosent av global årlig omsetning for virksomheten.

Hva er personopplysninger og behandlingsansvar?
Personopplysninger er opplysninger eller vurderinger som kan knyttes til enkeltpersoner. Virksomheten håndterer personopplysninger om sine ansatte. Det kan være opplysninger om for eksempel navn, kontaktdata, ansettelseshistorikk, utdanning eller kartlegging av adferd.

Det gjelder ekstra strenge krav for virksomhetens håndtering av sensitive personopplysninger; opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger.

Virksomheten kan også ha personopplysninger om kunder, forretningsforbindelser eller andre tredjeparter.
Når virksomheten står for håndteringen av personopplysninger, bestemmer hvilke opplysninger som skal samles inn, hvordan de skal brukes, hvor lenge de skal lagre osv, er virksomheten såkalt behandlingsansvarlig og er da underlagt en rekke plikter ved lov.

OBS!
NHOs personvernverktøy er standardisert og laget for å gi virksomheten et godt utgangspunkt for å oppfylle lovkravene på området. Dokumentene som inngår i verktøyet må tilpasses avhengig av virksomhetens behov og eventuelle eksisterende rutiner. Dersom det er uklarheter knyttet til personvernkravene og hva virksomheten må gjøre for å oppfylle kravene, må råd søkes hos advokat.

NHO vil i nærmeste fremtid utarbeide et brukervennlig trinn-for-trinn verktøy spesielt rettet mot SMB bedrifter. Mer informasjon om dette kommer på et senere tidspunkt.

Datatilsynet tilbyr også rådgivning som kan være nyttig for virksomheten. I kontakt med Datatilsynet bør virksomheten være oppmerksom på at Datatilsynet ikke bare gir råd, men også har som oppgave å kontrollere overholdelse av personvernkravene og har myndighet til å gi pålegg og bøter. I all kontakt med Datatilsynet anbefaler vi derfor at virksomheten stiller best mulig forberedt.