21.39 940.95 Glideklammer 22.2 950.02 Personvern og kontrolltiltak på…
22.1

950.01 Personopplysninger – krav og rutiner for den enkelte medarbeider

950.01 Personopplysninger – krav og rutiner for den enkelte medarbeider

950.01 Personopplysninger – krav og rutiner for den enkelte medarbeider

Dersom du er daglig leder, er det flere krav som må følges som ikke nevnes her; gjennomføring av risikovurderinger og personvernkonsekvensvurderinger, etablere rutinene som medarbeiderne skal følge, oversikt over alle behandlinger av personopplysninger (protokoll), databehandleravtaler og ivaretakelse av informasjonssikkerheten.

For mer redegjørelse på bedriftsnivå - se KS-systemet ”Cordel KS|HMS” for ytterligere informasjon.

Dette regelverket kan være svært krevende å etterleve og det vil for noen virksomheter være behov for mer/utdypende veiledning eller bistand til slikt arbeid for å etterleve regelverket. For mer veiledning se datatilsynet.no


For å kunne behandle personopplysninger om ansatte eller kunder må virksomheten basere seg på personvernforordningen (GDPR). Loven består av nasjonale regler og EUs personvernforordning (GDPR) og gjelder for alle EU/EØS-land. Dette regelverket krever at virksomheten skal ivareta de registrertes rettigheter/ kunden (de personene det behandles personopplysninger om), gjennomføring av risikovurderinger, personverkonsekvensvurderinger mv. Alle som skal behandle personopplysninger må ha tiltak på plass for å kunne oppfylle rettighetene som er fastsatt i lovverket. Disse tiltakene kan gå ut på å oppdatere rutiner for den enkelte medarbeideren, innsyn, slette personopplysninger det ikke lenger er behov for, gi hver enkelt ansatt opplæring i personvern og ha god IT-sikkerhet.

Loven omhandler behandling av personopplysninger, enhver operasjon eller en rekke av operasjoner som innsamling, lagring, spredning/ deling/ tilgjengeliggjøring/ utlevering, konsultering og annen bruk.. Reglene gir virksomheter en rekke plikter samtidig som den gir kunden (den registrerte) en rekke rettigheter.

Virkeområde

Loven gjelder alle virksomheter etablert i Norge når virksomheter helt eller delvis foretar automatisk (typisk elektronisk) behandling av personopplysninger. I tillegg gjelder loven også ved ikke-automatisert behandling som inngår i eller skal inngå i et register (f.eks. kunderegister)

Personvern - personopplysninger

Personvern handler om retten til privatliv og retten til å bestemme over egne personopplysninger.

Personopplysninger er alle opplysninger og vurderinger som kan knyttes til enkeltpersoner, dvs. kunder eller ansatte. Loven skiller på ulike kategorier av personopplysninger; alminnelige og særlige kategorier av opplysninger.

Dette er i hovedsak:

  • Navn
  • Adresse
  • Telefonnummer
  • E-post
  • Fødselsnummer
  • Bilde
  • Lydopptak
  • IP-adresser
  • Registreringsnummer på bil
  • Kontoopplysninger

Særlige kategorier av opplysninger: Helseopplysninger, (f.eks. når bedriften monterer et badekar for handikappede og dette registreres på kunden), og flere andre kategorier.

Krav/rutiner

Behandling av personopplysninger forutsetter at det foreligger et tydelig formål og behandlingsgrunnlag. For en vanlig rørleggerbedrift vil det vanligste behandlingsgrunnlaget være avtale (som inngås mellom bedriften og kunden). Andre behandlingsgrunnlag er samtykke, hjemmel i lov mv.

Les mer om ulike behandlingsgrunnlag hos www.datatilsynet.no

I forhold til personopplysninger fra kunder er det viktig at følgende rutiner følges:

  • Personopplysninger skal kun brukes til spesifikke formål, som ofte vil være å utføre en jobb i kundens hjem eller virksomhet, og ikke andre formål som for eksempel markedsføring som krever egne spesifikke formål og behandlingsgrunnlag
  • Personopplysninger/taushetsbelagte/særlige kategorier av opplysninger skal sendes på kryptert e-post, eller andre sikre systemer. Med sikre systemer menes systemer som er risikovurdert og har etablerte tilstrekkelige tiltak
  • Personopplysninger skal være relevante og nødvendige til det som er nødvendig for formålet. Det vil si at det ikke skal behandles mer personopplysninger enn det som er nødvendig
  • Utlevering av personopplysninger til en tredjepart må kunden opplyses om på forhånd og det må være forenelig med det opprinnelige formålet for behandlingen (se første strekpunkt). Utlevering til andre tredjeparter kan være dersom virksomheten samarbeider med andre håndverksvirksomheter.
  • Lagring av personopplysninger skal begrenses til det som er nødvendig, og lagring må skje på sikker måte, dvs ikke lokalt på mobiltelefoner eller lesebrett men i eget datanettverk i virksomheten. Når oppdraget hos kunden er fullført, skal opplysningene lagres i virksomhets system, og slettes fra e-post, mobiltelefoner og lesebrett.
  • Passe på at alle personopplysninger er korrekte og oppdaterte
  • Personopplysninger skal behandles konfidensielt og på en sikker måte for å unngå misbruk/ tap. Det er ingen lovbestemt taushetsplikt for rørleggere, men prinsippet om respekten for personvern gjelder uansett samt kravet til konfidensialitet.
  • Personopplysninger skal behandles på en lovlig, rettferdig og åpen måte. Det vil si at disse strekpunktene skal følges, og at kunden skal gis tilstrekkelig informasjon om behandlinger av personopplysninger virksomheten gjennomfører (f.eks. gjennom en personvernerklæring)
  • Dersom arbeidstaker oppdager en uønskede hendelser eller brudd på personvernet eller informasjonssikkerhetene, skal arbeidstakeren rapportere dette til daglig leder som skal behandle dette som avvik etter personopplysningsloven. Dersom avviket medfører middels eller høy risiko for kunden, skal avviket rapporteres til Datatilsynet innen 72 timer. Andre avvik som medfører lav risiko for kunden, skal ikke rapporteres til tilsynet.

Kundens rettigheter

Det er viktig at kunden gis korrekt informasjon om hvilke rettigheter som følger av loven, dvs:

  • Rett til innsyn om hvilke personopplysninger som er lagret om kunden
  • Rett til å kreve begrenset behandling dersom kunden mener at det er lagret personopplysninger som er feilaktige, bestrider riktigheten av opplysningene, behandlingen er ulovlig eller opplysningene ikke er nødvendige for formålet.
  • Rett til dataportabilitet (bedriften må overføre alle personopplysninger til en annen bedrift kunden selv velger)
  • Rett til å protestere over behandlinger av personopplysninger
  • Rett til informasjon om bedriftens behandling av personopplysninger (ofte gjennom en personvernerklæring)
  • Rett til å kreve retting eller sletting av personopplysninger
    (ved sletting må en vurdere om noen av opplysningene som ønskes slettet må lagers pga. annet regelverk, som f.eks.ved bokettersyn.
  • Ved et avvik, som medfører en høy risiko for kunden, skal bedriften underrette kunden.

Klage/avvik – personvernombud

Ved klager/spørsmål fra kunder skal disse håndteres av daglig leder eller virksomhetens personvernombud. Hvorvidt din virksomhet har behov for et personvernombud må vurderes. Kriterier for vurdering finnes hos datatilsynet.no

Fagmyndighet for spørsmål, informasjon eller klager forøvrig er Datatilsynet, www.datatilsynet.no eller tlf 22 39 69 00.

21.39 940.95 Glideklammer 22.2 950.02 Personvern og kontrolltiltak på…