Hva er personvern?

Hvem omfattes?

Dagens regler og bakgrunnen for dem

Begreper du bør kjenne

Hva var endringene?

Personvernregler for revisor og for regnskapsfører

Hva bør du gjøre?

I tillegg til forholdene omtalt nedenfor kan du sette deg inn i Datatilsynets startpakke for nye virksomheter.

Sett deg inn i regelverket

Se gjennom avsnittet "Hva var endringene?". På Datatilsynets sider finner du lovteksten i EUs forordning, derunder en norsk oversettelse og mye annen nyttig informasjon.

Kartlegge personopplysninger

Alle virksomheter som samler inn eller bruker personopplysninger skal ha en oversikt over hvilke personopplysninger virksomheten behandler. Dette er et krav som også gjaldt etter tidligere regler. Se eget avsnitt under om "Kartlegging av personopplysninger".

Oppdatere rutiner

Vurder behovet for å oppdatere rutiner som sikrer at virksomheten følger reglene for å håndtere personopplysninger, og hvordan de sikrer at informasjonen ikke kommer på avveie. Dokumenter rutinene, og lag en plan for nødvendige endringer.

Vurder hvilke regler som skal gjelde i ulike tilfeller:

  • Hvordan samtykke skal gis. For eget personal kan dette for eksempel være opplysninger som skal videre til NAV, skatteetaten, forsikring mv.
  • Rutiner ved sikkerhetsbrudd som angår personopplysninger. Se eget avsnitt om avvikshåndtering.
  • Rutiner for sletting. Se eget avsnitt om endringene i reglene her.
  • Rutiner for retting og korrigering. Der hvor det er nødvendig må det sørges for at opplysningene til enhver tid er korrekte og oppdaterte. Eksempelvis vil dette være viktig i pasientjournaler på sykehus.
  • Rutiner for dataportabilitet.

Vurder systemer og utenlandske systemleverandører/databehandlere

Vurder systemene virksomheten bruker. Er de laget for å ivareta kravet til innebygd personvern, dataportabilitet og personvern som standardinnstilling? Send henvendelser til systemleverandøren på dette om nødvendig. Dersom virksomheten idag har et lønnssystem som ikke lar deg slette informasjon på ansatte som har sluttet, vil det ikke være i tråd med reglene.

Bruker du systemleverandører utenfor Norge bør du finne ut hvor serveren fysisk befinner seg. Hvis det ikke er i EU eller i Norge, bør leverandøren undertegne EUs modellavtaler eller USAs "Privacy Shield". Se nærmere om overføring av opplysninger til utlandet på Datatilsynets sider.

Europeisk lovgivning krever at personopplysninger som blir overført til USA fortsatt skal ha en høy grad av beskyttelse, på samme måte som vi er vant til i Europa. Det eksisterer flere mekanismer for å overføre personopplysninger fra Europa til USA: standardkontrakter, binding corporate rules og Privacy Shield. Se nærmere om dette på Datatilsynets sider.

Velg et personvernombud

Dette gjelder ikke alle virksomheter - se nærmer om dette under avsnittet "Hva er endringene?".

Behandlingsansvarlig skal utpeke en person som godkjennes av Datatilsynet. Personen har som oppgave å bidra til at den behandlingsansvarlige følger personopplysningsloven med forskrift. Personvernombudet skal informere og gi råd, overvåke etterlevelse av forordning og interne retningslinjer, gi råd om PIA (personvernkonsekvenser) og samarbeide med Datatilsynet. Ombudet kan være både en ansatt eller en profesjonell tredjepart.

Gjør en vurdering av om virksomheten er pliktig til å ha et personvernombud. Er det tvil om plikten gjelder, er det viktig å dokumentere vurderingene som er gjort.

Kartlegging av personopplysninger

Bøter

Personvernerklæring o.l