<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=481164012244046&amp;ev=PageView&amp;noscript=1">
Skip to content
LUKK
Kontakt oss
Kontakt oss
behandler bedriften din personvernopplysninger?
Elin Andreassen - Advokatfullmektig28. februar 20255 min read

Sjekkliste for lovlig databehandling av personvernopplysninger

Personvern er en grunnleggende rettighet og en viktig del av det moderne forretningslandskapet. Enten du driver en liten bedrift, en medlemsorganisasjon eller et større selskap, er det ditt ansvar å beskytte personopplysningene til kunder, brukere, medlemmer og ansatte. Brudd på personvernregler kan føre til store bøter og skade på virksomhetens omdømme.

For å hjelpe deg med å navigere dette landskapet har vi laget en sjekkliste for virksomhetens vanligste plikter når det gjelder etterlevelse av personvernregelverket.

Sjekkliste for trygg og lovlig håndtering av personvern og datalagring i din virksomhet

1. Kartlegg personopplysningene du behandler eller ønsker å behandle

  • Identifiser hvilke kategorier personopplysninger du samler inn (f.eks. navn, adresser, e-postadresser, fødselsnummer).
  • Få oversikt over hvordan personopplysningene brukes. 
  • Kartlegg hvor opplysningene lagres (fysiske arkiver, dataservere og skybaserte tjenester).
  • Finn ut hvem som har tilgang til dataene, både internt og eksternt.

2.    Definer hvorfor du trenger å behandle personopplysningene

Én kategori personopplysninger kan noen ganger ha flere formål, men du kan ikke endre formålet i særlig grad når behandlingen er påbegynt. Formålet må ikke være for vidt eller ullent.

3.    Sørg for et lovlig behandlingsgrunnlag

Har du et lovlig grunnlag for å behandle personopplysninger etter artikkel 6 i personvernforordningen? Dette kan være:

  • Samtykke fra personen (må være frivillig, spesifikt og dokumenterbart).
  • Oppfyllelse av en avtale.
  • Lovpålagte krav.
  • Nødvendig for å ivareta legitime interesser.

Dersom du behandler særlige kategorier av personopplysninger (sensitive personopplysninger og biometri), må behandlingene også ha behandlingsgrunnlag i artikkel 9 i personvernforordningen.

Du må også sørge for at behandlingen oppfyller de grunnleggende personvernrettslige prinsippene om lovlighet, rettferdighet og gjennomsiktighet.

GUIDE: GPDR OG PERSONVERN

Få en oversikt over alle krav og forpliktelser som følger med reglene for GDPR og personvern. Last ned guide.
LAST NED GUIDE

4.    Vurder risiko og personvernkonsekvenser

Virksomheten må gjennomføre en vurdering av risiko og personvernkonsekvensene («DPIA») før behandling av personopplysninger kan igangsettes, dersom det er høy risiko for at rettigheter til enkeltpersoner kan bli krenket. 
En DPIA bør beskrive behandlingen, inkludert hvilke opplysninger som behandles, formålet med behandlingen, og hvordan dataene samles inn, brukes og lagres. Videre må den vurdere nødvendigheten og forholdsmessigheten av behandlingen, identifisere mulige risikoer og konsekvenser for de registrerte, samt beskrive tiltak for å minimere risikoen, som tekniske løsninger som kryptering eller organisatoriske tiltak som tilgangsbegrensning.

Eksempler på situasjoner som kan kreve DPIA:

  • Bruk av nye teknologier, som biometriske systemer eller kunstig intelligens.
  • Systematisk overvåking av offentlig tilgjengelige områder i stort omfang (for eksempel videoovervåkning).
  • Behandling av store mengder sensitive opplysninger, som bevegelse til de ansatte, helseopplysninger eller opplysninger om politisk tilhørighet.

5.    Opprett en personvernerklæring

  • Informer kunder, brukere og ansatte om hvordan dere behandler personopplysninger.

En personvernerklæring bør inneholde: 

  • Hvilke data som samles inn.
  • Hvorfor de samles inn.
  • Hvordan de lagres og sikres.
  • Retten til innsyn, retting og sletting.

6.    Sikre dataminimering

Samle kun inn de personopplysningene som er nødvendige for det aktuelle formålet. Ved å praktisere dataminimering reduserer du risikoen for brudd og styrker tilliten til virksomheten din. Dette innebærer også å slette opplysninger som ikke lenger er relevante.

7.    Iverksett tekniske og organisatoriske tiltak

  • Innfør tekniske tiltak som kryptering, passordbeskyttelse og brannmurer.
  • Begrens tilgangen til sensitive data til autoriserte personer.
  • Gjennomfør regelmessige sikkerhetstester og oppdater systemene jevnlig.

8.    Overføring av personopplysninger til tredjeland utenfor EØS

Dersom personopplysninger skal overføres til land utenfor EØS, må virksomheten sikre at behandlingen oppfyller kravene i GDPR kapittel V.

Overføring er kun tillatt dersom:

  • Adekvansavgjørelse: EU-kommisjonen har vurdert at mottakerlandet har et tilstrekkelig nivå av personvern.
  • Egnede garantier: Dersom adekvansavgjørelse ikke foreligger, kan overføring skje dersom virksomheten etablerer egnede garantier, som standardkontraktsklausuler, bindende virksomhetsregler (BCR) eller sertifiseringsmekanismer.
  • Unntakssituasjoner: I spesielle tilfeller kan overføring skje uten adekvansavgjørelse eller garantier, for eksempel dersom den registrerte har gitt eksplisitt samtykke eller overføringen er nødvendig for å oppfylle en kontrakt.

Virksomheten må også gjennomføre en risikovurdering for å sikre at mottakerlandet ikke setter registrertes rettigheter i fare.

9.    Vurder om du må ha personvernombud

Personvernforordningen artikkel 37 angir at virksomheter må utpeke et personvernombud i noen tilfeller, for eksempel:

  • Offentlige myndigheter eller organer: Behandling utføres av en offentlig myndighet eller et offentlig organ, unntatt domstoler når de handler i sin dømmende funksjon.
  • Omfattende overvåking av registrerte: Hovedaktiviteten til virksomheten innebærer regelmessig og systematisk overvåking av enkeltpersoner i stort omfang. Eksempler kan være overvåking av atferd på nett eller omfattende bruk av overvåkningskameraer i offentlige rom.
  • Behandling av særlige kategorier av personopplysninger: Hovedaktiviteten til virksomheten innebærer behandling i stort omfang av særlige kategorier av personopplysninger, slik som sensitive opplysninger (f.eks. helse, religion, politisk tilhørighet) eller opplysninger om straffedommer og lovovertredelser.

Les også: Trenger din virksomhet personvernombud?

10.    Gjennomfør rutiner og internkontroll

  • Internkontroll skal hjelpe ledelsen i virksomheten med å sikre etterlevelse av personvernregelverket og ansatte med å utføre oppgaver på en forsvarlig måte. Virksomheten må balansere registrertes rettigheter og egne mål ved å tilpasse tiltak til behandlingens art, omfang, formål og risiko.
  • Dokumenter alt arbeid med personvern.
  • Opprett interne prosedyrer for å håndtere brudd på personvernet.
  • Meld fra til Datatilsynet innen 72 timer dersom et brudd oppstår.
  • Informer de berørte personene dersom bruddet kan føre til risiko for deres rettigheter.

11.    Sørg for opplæring

  • Gi opplæring til ansatte om personvern og GDPR.

12.    Opprett databehandleravtaler

  • Hvis du bruker eksterne leverandører (for eksempel for IT-tjenester eller lønnssystemer), sørg for at du har databehandleravtaler med disse leverandørene.
  • Avtalene skal regulere hvordan leverandørene håndterer data på dine vegne.

13.    Protokoll over behandlingsaktiviteter

Alle virksomheter som behandler personopplysninger, skal føre en protokoll over behandlingsaktivitetene de har ansvar for.

14.     Respekter rettighetene til de registrerte

  • Vær forberedt på å svare på forespørsler om innsyn, retting eller sletting av data innen én måned.
  • Sørg for at de registrerte enkelt kan trekke tilbake sitt samtykke, hvis deres behandling er basert på samtykke fra den registrerte.

15.    Gjennomfør regelmessige revisjoner

  • Gå gjennom personvernsrutiner og dokumentasjon minst én gang i året.
  • Oppdater praksis etter behov for å møte nye krav eller endringer i virksomheten.
  • Hold deg oppdatert på regelendringer og praksis.

 

Dokumentasjon av personvern er viktig

Det er viktig å dokumenter alt som har med personvern å gjøre. Dette inkluderer personvernerklæringer, databehandlingsaktiviteter, risikovurderinger, rutiner, avvik og tiltak. Bruk en oversiktlig metode for å holde orden i dokumentasjonen.

Les også: GDPR-sjekkliste: Viktig dokumentasjon for å sikre personvern i din bedrift

Gode personvernrutiner styrker omdømme og forebygger bøter

Personvern er ikke bare et lovkrav – det er en nødvendighet for å bygge tillit og beskytte både virksomheten og de registrertes rettigheter. Ved å følge de trinnene som er beskrevet i denne sjekklisten, kan du sikre at virksomheten din etterlever GDPR og oppfyller sine forpliktelser på en ansvarlig måte.

Husk også at personvern ikke er en engangsprosess, men noe som krever kontinuerlig oppfølging og tilpasning. Regelmessige revisjoner, opplæring av ansatte og oppdatering av interne rutiner er essensielle for å holde seg i forkant og unngå mulige brudd. Ved å ta personvern på alvor kan du styrke omdømmet til virksomheten din, unngå bøter og bidra til et tryggere digitalt samfunn for alle.

GUIDE: GPDR OG PERSONVERN

Få en oversikt over alle krav og forpliktelser som følger med reglene for GDPR og personvern. Last ned guide.
LAST NED GUIDE
avatar
Elin Andreassen - Advokatfullmektig
Elin arbeider med arbeidsrett, men også tilhørende områder som sykepenger, trygd, lønn og generell forretningsjus. Hun assisterer norske og utenlandske selskaper med deres forpliktelser som arbeidsgiver i Norge.

RELATERTE ARTIKLER