Ny personvernlov, hva nå?

Alle bedrifter er lovpålagt å håndtere kundelister, ansattopplysninger og andre personopplysninger på en sikker måte. Dette gjelder personopplysningsloven fra 2000, men gir et godt grunnlag for å håndtere ny personvernforordning som kommer i 2018.

Signert sjekklisteElektroniske mannskapslister utløser personvernloven

MLF venter på at Arbeidstilsynet  og Datatilsynet skal lage en veileder for hvordan vi skal håndtere byggherreforskriften og personvernloven sammen. Når veilederen foreligger, vil MLF sammen med de andre bransjene i byggenæringen  lage en enkel veileder for bedriftene for hvordan bedriftene i byggenæringen enklest skal håndtere lovene. Vi kommer også til å oppdatere vårt styringssystem EBB.

 

Lovlig håndtering av person-opplysninger i tre trinn

NHO har utarbeidet et standardisert personvernverktøy som gjør det enklere for medlemsbedriftene å oppfylle de lovpålagte kravene for håndtering av personopplysninger.  Verktøyet består av tre trinn. Til hvert trinn følger det en veileder du bør lese grundig. I tillegg har NHO utarbeidet maler for skjemaer du vil trenge underveis. Disse finner du her. (Kun tilgjengelig for våre medlemmer).

På NHOs medlemssider Arbinn finner du mer om personvernloven.

Før du starter prosessen, bør du lese litt om hvorfor du trenger dette verktøyet:

Du risikerer store bøter

Det stilles i dag omfattende krav til norske virksomheters håndtering av personopplysninger. Enda strengere EU-regler er på vei, og vil kunne gjelde for norske virksomheter fra 2018. Datatilsynets inspeksjoner tyder på at mange virksomheter kjenner personvernkravene for dårlig.

Manglende oppfølging av personvern kan bli kostbart – både økonomisk og omdømmemessig. Personvern er et hett tema i samfunnsdebatten, og noe både ansatte og fagforeninger er opptatt av. I dag kan Datatilsynet gi bøter på ca 900 000 kroner per regelbrudd. Det nye EU-regelverket som er på vei legger opp til at bedrifter får større ansvar for personvern, samtidig som det åpnes for langt strengere sanksjoner.

I verste fall kan overtredelser av regelverket sanksjoneres med bøter på mellom to til fire prosent av global årlig omsetning for virksomheten.

Hva er personopplysninger og behandlingsansvar?

Personopplysninger er opplysninger eller vurderinger som kan knyttes til enkeltpersoner. Virksomheten håndterer personopplysninger om sine ansatte. Det kan være opplysninger om for eksempel navn, kontaktdata, ansettelseshistorikk, utdanning eller kartlegging av adferd.

Det gjelder ekstra strenge krav for virksomhetens håndtering av sensitive personopplysninger; opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger.

Virksomheten kan også ha personopplysninger om kunder, forretningsforbindelser eller andre tredjeparter.

Når virksomheten står for håndteringen av personopplysninger, bestemmer hvilke opplysninger som skal samles inn, hvordan de skal brukes, hvor lenge de skal lagre osv, er virksomheten såkalt behandlingsansvarlig og er da underlagt en rekke plikter ved lov.

Dette er de tre trinnene

Første trinn – Datakartlegging: Det er et krav at virksomheten kartlegger sin behandling av personopplysninger, på hvilken måte opplysningene brukes, og til hvilke formål. Vi har laget et standardisert spørreskjema
virksomheten kan ta utgangspunkt i og fylle ut for å få slik oversikt. I veilederen finner du info om hvordan det skal fylles ut.

Andre trinn – Avviksanalyse: Når skjemaet for datakartlegging er fylt ut, kan funnene ses opp mot de øvrige lovpålagte kravene for å kartlegge eventuelle avvik, og deretter avhjelpe uakseptabel risiko for virksomheten. Det er utarbeidet et eget skjema for avviksanalyse for dette formålet. I den tilhørende veilederen finner du info om hvordan skjemaet skal fylles ut.

Tredje trinn – internkontroll: Siste trinn består av en dokumentasjonspakke med standardiserte maler for å sørge for at virksomheten har lovpålagt dokumentasjon for internkontroll og sikkerhet. Maler for internkontroll med tilhørende brukerveiledning er inntatt i separat dokument for trinn tre.

OBS!

NHOs personvernverktøy er standardisert og laget for å gi virksomheten et godt utgangspunkt for å oppfylle lovkravene på området. Dokumentene som inngår i verktøyet må tilpasses avhengig av virksomhetens behov og eventuelle eksisterende rutiner. Dersom det er uklarheter knyttet til personvernkravene og hva virksomheten må gjøre for å oppfylle kravene, må råd søkes hos advokat.

Datatilsynet tilbyr også rådgivning som kan være nyttig for virksomheten. I kontakt med Datatilsynet bør virksomheten være oppmerksom på at Datatilsynet ikke bare gir råd, men også har som oppgave å kontrollere overholdelse av personvernkravene og har myndighet til å gi pålegg og bøter. I all kontakt med Datatilsynet anbefaler vi derfor at virksomheten stiller best mulig forberedt.