Personvern og GDPR
Alle virksomheter behandler personopplysninger, og må forholde seg til strenge krav i personvernforordning (GDPR), den norske personopplysningsloven og flere forskrifter. Hvilken type personopplysninger og hvilket omfang en virksomhet behandler, og dermed hvor omfattende tekniske og organisatoriske tiltak som krever varierer. Men uansett stilles det krav om dokumenterte vurderinger og informasjon til de registrerte.
Da GDPR (General Data Protection Regulation) trådte i kraft sommeren 2018, ble «alle» opptatt av personvern – antagelig i stor grad pga risiko for høye overtredelsesgebyr. Vi har rådgitt også etter personregisterloven fra 1978 og personopplysningsloven fra 2000, og har lang erfaring og er godt kjent med ulike personvernvurderinger.
Personvernregelverket er vanskelig tilgjengelig fordi mye av reglene er basert på EU-lovgiving og fordi det pågår en løpende utvikling i rettspraksis og praksis fra europeiske og nasjonale tilsynsmyndigheter (EDPB, Datatilsynet og Nkom). Vi legger stor vekt på å holde oss oppdatert, samtidig som vi følger med i den teknologiske utviklingen for å kunne ivareta våre klienters behov. Dette har bl.a. medført at vi nå bruker mye tid på de personvernproblemstillingene innføring av KI medfører, slik at vi kan støtte virksomheter i utviklingen av deres KI-strategi med identifisering av risikoer og tiltak, samt sikre best praksis ved innføring av retningslinjer, opplæring og dokumentasjon.
Vi ønsker å bidra til at små og store virksomheter etterlever personvernregelverket på en fornuftig måte, og har god «compliance». Det gjelder både de virksomheter som ser persondata som en sentral verdi og behandler personopplysninger i stort omfang for ulike formål, og de virksomheter som kun håndterer personopplysninger som en strengt nødvendig del av sin virksomhet, som for eksempel for å kunne utbetale lønn til ansatte og sørge for at kunder får levert de varer og tjenester som er bestilt.
Vi bistår med:
- Kartlegging av virksomheters behandlinger av personopplysninger
- Utarbeidelse og kvalitetssikring av personverndokumentasjon
- Analyse av virksomheters behov for endringer og utforming av rutiner og erklæringer mv
- Vurdering av rettslige grunnlag / behandlingsgrunnlag for ordinære personopplysninger og særlige kategorier (sensitive) personopplysninger
- Dokumentasjon av berettigede interesser med interesseavveining
- Utforming av samtykketekst
- Utarbeidelse personvernerklæringer til kunder, ansatte mv
- Utarbeidelse av cookiepolicy og håndtering av cookiebanner
- Avvikshåndtering med ev. melding til Datatilsynet og den registrerte
- Etablering av rutiner for innsyn, korrigeringer, sletting og begrensing av behandling av personopplysninger
- Sletterutiner
- Personvernvurderinger ved ulike behandlinger, for eksempel før anskaffelse av ny IT-løsning eller ny bruk av eksisterende løsning til et nytt formål
- Risikovurderinger
- Personvernkonsekvensutredninger (DPIA)
- Personvernrutiner for markedsføring
- Personvernrutiner for HR / ansatte
- Kontrolltiltak overfor ansatte
- Bruk av bilder
- Kameraovervåking
- Rutiner for vedlikehold og revisjon
- Personvernhåndbok (internkontroll)
- Databehandleravtaler
- Avtaler mellom felles behandlingsansvarlige
- Konfidensialitetserklæringer (NDA)
- Internasjonale overføringer av personopplysninger til tredjeland, med vurderinger av overføringsgrunnlag som for eksempel Standard Contractual Clauses (SCC) med Transfer Impact Assessment (TIA), Binding Coorporate Rules (BCR), adekvansbeslutninger eller sertifiseringsmekanismer som EU-US Data Privacy Framework (DPF) som gjelder overføring til USA
- Implementering av personvern I teknologiske løsninger - Privacy by design/default
- Tilsyn fra Datatilsynet
- Årlig kontroll av personvern
- Kurs og opplæring