Hva er personvern?

Hvem omfattes?

Dagens regler og bakgrunnen for dem

Begreper du bør kjenne

Hva var endringene?

Personvernregler for revisor og for regnskapsfører

Hva bør du gjøre?

Kartlegging av personopplysninger

Alle virksomheter må ha en oversikt over personopplysninger som dokumenteres. De fleste virksomheter har langt flere personopplysninger enn de tror.

Kartleggingen er veldig viktig da det er grunnlaget for virksomhetens vurdering av om de har lov til å sitte med disse opplysningene.

Oversikten bør inkludere informasjon om følgende:

Hvilke personopplysninger som behandles i virksomheten

  • Hvilke av disse er sensitiv informasjon (rase eller religiøse forhold, informasjon om barn)?
  • Hvilke gjelder mindreårige

Formålet med opplysningene

Hvorfor er dataen samlet inn - hva skal de brukes til? For alle opplysninger må det eksistere minst ett formål, og det kan selvfølgelig eksistere flere. Eksempel på ett formål er at virksomheten innhenter informasjon om kontonummer fra de ansatte for å bruke i forbindelse med lønnsutbetaling. Timelister fra de ansatte kan ha flere formål; lønnskjøring og fakturering av kunder.

Grunnlaget for behandlingen
For at virksomheten lovlig skal kunne behandle opplysningene må det foreligge et gyldig grunnlag. Grunnlaget kan enten være at det er nødvendig eller på samtykke.

Eksempel på at behandlingen av personopplysningene er nødvendig:

  • Virksomheten trenger informasjon for å oppfylle en rettslig forpliktelse. Eksempel her er at arbeidsgiver er nødt til å behandle sykmeldinger for de ansatte for å oppfylle kravet iht folketrygdloven til å utbetale sykepenger i arbeidsgiverperioden.
  • Virksomheten må bruke opplysningene for å oppfylle en avtale med den registrerte, dvs den personopplysningene gjelder. For eksempel informasjon om den ansatte for å kunne oppfylle vilkårene i arbeidsavtalen, deriblant betale ut lønn.

Samtykke innebærer at den registrerte har gitt tillatelse til at virksomheten behandler opplysninger om en selv. Samtykket må være gitt uttrykkelig, frivillig og informert for å anses gyldig. Et "uttrykkelig" samtykke innebærer at den registrerte aktivt har tillatt bruken, og et forhåndsutfyllt samtykke anses ikke som et aktivt samtykke. Videre skal de registrerte være gitt tilstrekkelig informasjon slik at de forstår hva de faktisk samtykker til.

Tilgang til opplysningene

Hvem har tilgang til disse opplysningene? Håndteres informasjonen på en tilfredsstillende måte. Brukes databehandlere?

Oppfylles rettighetene til den registrerte:

  • Finnes en rutine for sletting?
  • Oppfylles kravene om dataportabilitet?

Se eksempel på kartlegging av personopplysning i revisjon.

Bøter

Personvernerklæring o.l