Informasjonsplikten er en viktig og omfattende del av EUs personvernsforordning (GDPR) og personopplysningsloven. Alle virksomheter som registrerer personopplysninger, skal gi informasjon om hvordan disse blir lagret og behandlet. Som daglig leder har du ansvaret for å oppfylle kravet.
GDPR-regelverket og personopplysningsloven ble innført for å styrke personvernet gjennom rettigheter for alle individer. Som en konsekvens, har alle virksomheter som samler inn og behandler personlige data plikt til å:
- fastsette formål for bruk av informasjonen
- legge til rette for brukernes rettigheter
- lage rutiner for retting og sletting
- vurdere personvernkonsekvenser
- tilrettelegge for innebygd personvern
- etablere internkontroll
- prioritere informasjonssikkerhet
- opprette protokoll over behandlingsalternativer
- håndtere avvik
For å etterleve disse pliktene må bedriften utarbeide tiltak for å hindre trusler mot personvernet. Datatilsynet har laget en veileder om pliktene som kan være til hjelp
Rettigheter som ivaretar personvernet
Når personopplysninger registreres, får de registrerte flere konkrete rettigheter:
- rett til innsyn
- rett til korrigering
- rett til sletting
- begrensning av behandlingen
- innsigelse mot behandlingen
- rett til å trekke tilbake samtykke gitt tidligere
- rett til å ta med seg personopplysningene fra en virksomhet til en annen
For å oppfylle rettighetene pålegges virksomheten en informasjonsplikt. De registrerte skal få vite hvordan personopplysningene behandles, hvor lenge de lagres, hva formålet og det rettslige grunnlaget er, hvilke konsekvenser behandlingen kan ha, hvilke rettigheter den registrerte har i den forbindelse og hvordan de kan ivareta disse rettighetene.
Informasjonen skal gis skriftlig og helst være tilgjengelig elektronisk. Helt sentralt er at den skal ha en form som gjør at de registrerte forstår rettighetene sine. Fristen for å informere er senest en måned etter innsamling.
Les mer: GDPR krever åpenhet og språk som selv barn forstår
Samtykke til registrering
I tillegg til denne generelle informasjonsplikten skal det også gis informasjon når personopplysningene registreres. For å foreta denne registreringen kreves det at virksomheten har et behandlingsgrunnlag. Vanligvis vil behandlingsgrunnlaget være at man innhenter samtykke fra de som skal registreres. Samtykket baseres på:
- hvem den behandlingsansvarlige er
- formålet for hver av behandlingene som virksomheten ber om samtykke til
- hva slags personopplysninger som vil samles inn
- informasjon om retten til å trekke tilbake samtykke
- informasjon om eventuelle automatiserte individuelle avgjørelser hvis det er relevant
- informasjon om risiko og tiltak ved eventuell overføring utenfor EU/EØS-området
Sikker makulering av sensitiv informasjon
Tiltakene som følger av de nevnte pliktene, skal inngå i et system for internkontroll. Ledelsen har hovedansvaret for at et slikt system er på plass.
GDPR gjelder også for papirdokumenter som inneholder personopplysninger, og internkontrollen må derfor ha rutiner for sletting av disse. Det innebærer at man har løsninger for sikker makulering. Hvis du er i tvil om hvorvidt bedriftens løsninger er gode nok, kan du ta sikkerhetstesten vår og laste ned sjekklisten vi har utarbeidet:
Dette blogginnlegget ble sist publisert 27. september 2018 og er senere oppdatert.
