Personvernerklæring

Personvern og behandling av personopplysninger

1. Behandlingsansvar

[Virksomhetsnavn], org.nr. [org.nr.], er behandlingsansvarlig for virksomhetens behandling av personopplysninger. Med behandling menes enhver bruk av personopplysninger, for eksempel innsamling, registrering, lagring, sammenstilling, utlevering, endring og sletting.

Som behandlingsansvarlig skal virksomheten sørge for at personopplysninger behandles lovlig, sikkert og i samsvar med gjeldende regelverk om personvern.

Virksomheten fører oversikt over sine behandlingsaktiviteter i en behandlingsprotokoll. Denne dokumenterer blant annet hvilke opplysninger som behandles, hvorfor de behandles, hvilket behandlingsgrunnlag som benyttes, hvem opplysningene gjelder, eventuelle mottakere og hvor lenge opplysningene lagres.

Spørsmål om personvern eller innsigelser mot behandling av personopplysninger kan rettes til [daglig leder / ansvarlig kontaktperson].

2. Grunnleggende prinsipper for behandling

All behandling av personopplysninger i virksomheten skal bygge på de grunnleggende prinsippene i personvernregelverket. Dette innebærer følgende:

Lovlighet, rettferdighet og åpenhet

Vi skal alltid ha et gyldig behandlingsgrunnlag før personopplysninger behandles. Behandlingen skal være saklig, forutsigbar og forståelig for den registrerte.

Formålsbegrensning

Personopplysninger skal kun brukes til klart definerte og legitime formål. Opplysningene skal ikke brukes videre på en måte som er uforenlig med det opprinnelige formålet.

Dataminimering

Vi skal bare behandle de opplysningene som er nødvendige for å oppnå formålet. Unødvendig innsamling og lagring skal unngås.

Riktighet

Opplysningene skal være korrekte og oppdaterte når det er nødvendig for formålet. Feilaktige opplysninger skal rettes eller slettes uten ugrunnet opphold.

Lagringsbegrensning

Personopplysninger skal ikke lagres lenger enn nødvendig. Når formålet er oppfylt, skal opplysningene slettes eller anonymiseres i tråd med fastsatte rutiner og frister.

Integritet og konfidensialitet

Vi skal beskytte personopplysninger mot uautorisert tilgang, tap, ødeleggelse, endring og annen urettmessig behandling gjennom egnede tekniske og organisatoriske tiltak.

Ansvarlighet

Virksomheten skal kunne dokumentere at personvernregelverket etterleves i praksis gjennom rutiner, internkontroll, vurderinger og behandlingsprotokoller.

3. Felles struktur for GDPR-rutiner

For å sikre en enhetlig og brukervennlig oppbygning er alle personvernrutiner i håndboken bygget opp etter samme struktur:

  • Formål – hva rutinen skal sikre.
  • Ansvar – hvem som eier, følger opp og vedlikeholder rutinen.
  • Gjennomføring – hvordan rutinen skal praktiseres i det daglige, inkludert krav, tiltak og arbeidsflyt.
  • Kontroll og forbedring – hvordan etterlevelse skal dokumenteres, kontrolleres og forbedres.

GDPR-rutine: Sikkerhetsmål, strategi og ledelsens gjennomgang

4. Formål

Virksomhetens sikkerhetsarbeid skal bidra til stabil drift, tillit hos ansatte, kunder og samarbeidspartnere, samt redusere risikoen for uønskede hendelser knyttet til personopplysninger og informasjonssikkerhet.

Ledelsens gjennomgang skal sikre at virksomhetens internkontroll på personvernområdet fungerer etter hensikten og er i samsvar med gjeldende krav.

5. Sikkerhetsmål

Virksomheten skal:

  • behandle personopplysninger i samsvar med gjeldende lover og forskrifter
  • unngå innsamling og lagring av opplysninger som ikke er nødvendige
  • sørge for at feil eller endringer i personopplysninger blir korrigert så raskt som mulig
  • beskytte fysiske og digitale lagringsmiljøer mot uautorisert tilgang
  • sikre at tilgang til systemer og opplysninger kun gis til personer med tjenstlig behov

6. Sikkerhetsstrategi

Virksomheten skal arbeide systematisk med personvern og informasjonssikkerhet. Dette innebærer blant annet at:

  • ledelsen og ansatte med særskilt ansvar skal ha nødvendig kjennskap til relevant regelverk
  • alle ansatte skal kjenne gjeldende rutiner og bidra til etterlevelse i praksis
  • virksomheten skal ha oppdaterte personvernrutiner som beskriver behandlinger, roller og sikkerhetstiltak
  • personvern skal vurderes ved nye systemer, prosesser og endringer i eksisterende arbeidsformer

7. Ledelsens gjennomgang

Personvernarbeidet skal gjennomgås jevnlig, og normalt minst én gang per år. Gjennomgangen skal blant annet omfatte:

  • oppfølging av fastsatte sikkerhetsmål
  • vurdering av registrerte avvik og status for korrigerende tiltak
  • risikovurdering av nye eller endrede behandlinger
  • behov for forbedringstiltak
  • oppdatering av behandlingsprotokollen
  • vurdering av behandlingsgrunnlag for nye eller endrede aktiviteter
  • oppdatering av rutiner, beskrivelser og erklæringer ved behov
  • vurdering av om ansatte og registrerte har tilgang til nødvendig og oppdatert informasjon

8. Relevante lover og regelverk

Virksomheten skal forholde seg til gjeldende regelverk som er relevant for behandling av personopplysninger og informasjonssikkerhet, herunder blant annet:

  • personopplysningsloven
  • personvernforordningen (GDPR)
  • arbeidsmiljøloven
  • plan- og bygningsloven
  • internkontrollforskriften
  • arkivloven
  • sikkerhetsloven med tilhørende forskrifter
  • annet regelverk som er relevant for virksomhetens aktiviteter og bransje

GDPR-rutine: Organisering av personvernarbeidet

9. Formål

Rutinen skal sikre at virksomheten oppfyller sine plikter som behandlingsansvarlig, og at rettighetene til ansatte, kunder, kontakter og andre registrerte blir ivaretatt.

10. Ansvar og organisering

Daglig leder har det overordnede ansvaret for virksomhetens behandling av personopplysninger og for at regelverket etterleves.

Følgende ansvarsområder skal være tydelig plassert:

  • daglig leder: overordnet ansvar for personvern og internkontroll
  • administrasjon / HR: ansvar for personalrelaterte opplysninger og fysisk sikring av dokumentasjon og lokaler
  • IT-ansvarlig / systemansvarlig: ansvar for tilgangsstyring, informasjonssikkerhet og tekniske tiltak
  • alle ansatte: ansvar for å følge rutiner og bidra til sikker og korrekt behandling av personopplysninger

Virksomheten skal vurdere omfanget av sitt personvernarbeid og tilpasse rutiner, kontroller og dokumentasjon til virksomhetens størrelse, risikobilde og behandlingsaktiviteter.

11. Oversikt over behandlinger

Virksomheten skal føre en oppdatert behandlingsprotokoll som gir oversikt over:

  • hvilke behandlingsaktiviteter som gjennomføres
  • hvilke typer personopplysninger som behandles
  • hvem opplysningene gjelder
  • formålet med behandlingen
  • behandlingsgrunnlag
  • eventuelle mottakere eller databehandlere
  • lagringstid eller slettefrister
  • relevante sikkerhetstiltak

GDPR-rutine: Registrertes rettigheter

12. Formål

Rutinen skal sikre at personer som virksomheten behandler opplysninger om, får ivaretatt sine rettigheter etter personvernregelverket.

13. Rett til innsyn

Den registrerte kan be om innsyn i hvilke personopplysninger virksomheten behandler om vedkommende. Innsyn skal håndteres uten ugrunnet opphold og innen lovpålagte frister.

Innsyn kan begrenses dersom det er nødvendig for å beskytte andres rettigheter eller dersom lovverket åpner for dette.

14. Rett til retting

Dersom personopplysninger er feilaktige, ufullstendige eller utdaterte, skal de rettes så snart som mulig.

15. Rett til sletting

Personopplysninger skal slettes når:

  • formålet med behandlingen er oppfylt
  • lagringstiden er utløpt
  • den registrerte har krav på sletting etter regelverket
  • samtykke trekkes tilbake, der samtykke er behandlingsgrunnlaget
  • opplysningene ikke lenger behandles på lovlig grunnlag

16. Rett til begrensning, protest og tilbaketrekking av samtykke

Registrerte kan i bestemte tilfeller kreve at behandlingen begrenses. De kan også protestere mot behandling som bygger på interesseavveiing, og de kan når som helst trekke tilbake samtykke der samtykke er brukt som grunnlag.

17. Rett til informasjon og klage

Virksomheten skal gi tydelig informasjon om hvordan personopplysninger behandles og hvilke rettigheter registrerte har.

Registrerte har også rett til å klage til Datatilsynet dersom de mener opplysninger behandles i strid med regelverket.

GDPR-rutine: Lagring og tilgangsstyring

18. Formål

Rutinen skal sikre at personopplysninger lagres forsvarlig, er tilgjengelige for dem som trenger dem, og er beskyttet mot uautorisert bruk.

19. Hovedregler for lagring

Personopplysninger som er nødvendige for daglig drift, prosjektgjennomføring eller dokumentasjon, kan lagres i virksomhetens godkjente systemer.

Opplysninger med høyere beskyttelsesbehov skal lagres i systemer eller arkivløsninger med særskilt tilgangsstyring, og kun være tilgjengelige for autoriserte personer.

Virksomheten skal som hovedregel ikke behandle særlige kategorier personopplysninger med mindre dette er nødvendig og det foreligger gyldig behandlingsgrunnlag. Opplysninger som behandles uten gyldig grunnlag, skal slettes umiddelbart.

GDPR-rutine: Avvikshåndtering ved personvernhendelser

20. Formål

Rutinen skal sikre at brudd på personopplysningssikkerheten avdekkes, registreres, håndteres og følges opp på en strukturert måte.

21. Rapportering av avvik

Alle ansatte skal straks melde fra om hendelser, feil eller brudd som kan påvirke personvern eller informasjonssikkerhet.

Dette kan for eksempel gjelde:

  • personopplysninger sendt til feil mottaker
  • uautorisert tilgang til systemer eller dokumenter
  • publisering av opplysninger som ikke skulle vært offentliggjort
  • tap av dokumenter eller utstyr
  • hacking, innbrudd eller tekniske feil som berører personopplysninger

Mottatt avvik skal registreres i virksomhetens avvikssystem og vurderes med hensyn til alvorlighetsgrad, konsekvens og nødvendige tiltak.

22. Varsling til Datatilsynet

Dersom et brudd på personopplysningssikkerheten kan medføre risiko for fysiske personers rettigheter og friheter, skal bruddet meldes til Datatilsynet uten ugrunnet opphold og normalt senest innen 72 timer etter at virksomheten ble kjent med det.

Dersom ikke all informasjon er tilgjengelig umiddelbart, kan varslingen skje trinnvis.

23. Varsling til berørte personer

Dersom et sikkerhetsbrudd sannsynligvis vil medføre høy risiko for de berørte, skal disse informeres så snart som mulig.

Eksempler på situasjoner med høy risiko kan være:

  • fare for identitetstyveri
  • økonomisk tap
  • bedrageri
  • omdømmetap
  • risiko for liv eller helse

GDPR-rutine: Utlevering, databehandlere og overføring

24. Utlevering til andre behandlingsansvarlige

Når virksomheten deler personopplysninger med en annen behandlingsansvarlig, skal det sikres at:

  • delingen er nødvendig og relevant for formålet
  • mottaker har lovlig grunnlag for behandlingen
  • utleveringen skjer på en sikker måte
  • forholdet er vurdert og dokumentert

Planlagte utleveringer skal være beskrevet i behandlingsprotokollen.

25. Bruk av databehandlere

Når virksomheten benytter leverandører som behandler personopplysninger på vegne av virksomheten, skal det inngås databehandleravtale.

Avtalen skal blant annet regulere:

  • hva databehandleren skal gjøre
  • hvilke sikkerhetstiltak som gjelder
  • bruk av underleverandører
  • eventuell overføring til land utenfor EU/EØS
  • krav til sletting, tilbakelevering og dokumentasjon

26. Overføring utenfor EU/EØS

Personopplysninger skal ikke overføres til land utenfor EU/EØS uten gyldig overføringsgrunnlag.

Slikt grunnlag kan for eksempel være:

  • beslutning om tilstrekkelig beskyttelsesnivå
  • standard personvernbestemmelser (SCC)
  • bindende virksomhetsregler (BCR)
  • annet gyldig grunnlag etter GDPR kapittel V

GDPR-rutine: Kontrolltiltak og overvåking i arbeidslivet

27. Formål

Rutinen skal sikre at eventuelle kontroll- og overvåkingstiltak i arbeidsforhold gjennomføres lovlig, forholdsmessig og med respekt for de ansattes personvern.

28. Hovedkrav før innføring

Før et kontroll- eller overvåkingstiltak innføres, skal virksomheten vurdere:

  • hva formålet er
  • hvilket behandlingsgrunnlag som kan benyttes
  • om formålet kan oppnås med mindre inngripende tiltak
  • om løsningen er utformet med innebygd personvern
  • hvordan ansatte skal informeres

29. Eksempler på kontrolltiltak

Virksomheten kan benytte enkelte kontrolltiltak når det foreligger saklig behov og lovlig grunnlag, for eksempel:

  • elektronisk kjørebok
  • kameraovervåking
  • adgangskontroll
  • mannskapslister
  • dronebruk i prosjekter eller markedsføring

For hvert tiltak skal det være klart definert:

  • formål
  • tilgang
  • lagringstid
  • eventuelt informasjonsbehov og samtykke
  • hvordan opplysningene skal sikres og slettes

GDPR-rutine: E-post, fillagring og sikker bruk av systemer

30. Formål

Rutinen skal sikre trygg bruk av e-post, dokumentlagring og digitale systemer, samt sikre at eventuelt innsyn skjer innenfor lovens rammer.

31. Sikkerhetstiltak

Virksomheten skal ha hensiktsmessige sikkerhetstiltak, herunder:

  • låste lokaler utenfor arbeidstid
  • låsing av PC og arbeidsstasjon ved fravær
  • sikre IT-løsninger med tilgangsstyring
  • backup og gjenopprettingsrutiner
  • opplæring av ansatte i sikker bruk av e-post og filer

Ansatte skal blant annet:

  • ikke åpne lenker eller vedlegg fra ukjente eller mistenkelige avsendere
  • holde privat og arbeidsrelatert innhold adskilt
  • bruke blindkopi når mottakerlister ikke skal deles
  • rydde og slette unødvendig lagret informasjon jevnlig
  • sende sensitive opplysninger på sikker måte der dette er nødvendig

32. Innsyn i e-post og elektronisk lagret materiale

Virksomheten kan bare gjennomføre innsyn i ansattes e-post eller annet elektronisk lagret materiale når lovens vilkår er oppfylt, for eksempel:

  • når det er nødvendig for å ivareta daglig drift
  • ved begrunnet mistanke om alvorlige brudd på arbeidstakers plikter

Innsyn skal vurderes og besluttes av daglig leder eller annen autorisert person, og gjennomføres på en måte som ivaretar den ansattes rettssikkerhet og personvern.

Den ansatte skal så langt som mulig varsles på forhånd og få anledning til å uttale seg og være til stede.

Kategorier, mottakere, sletting, begreper og revisjon

33. Hovedkategorier av personopplysninger virksomheten kan behandle

Virksomheten kan behandle personopplysninger innenfor følgende hovedområder, avhengig av rolle, arbeidsforhold og type aktivitet:

  • opplysninger i personalmappe
  • opplysninger knyttet til lønn, fravær og administrasjon av arbeidsforhold
  • kontaktopplysninger brukt til intern og ekstern kommunikasjon
  • opplysninger knyttet til HMS, kvalitetssikring og prosjektgjennomføring
  • mannskapslister, HMS-kort og dokumentasjon av tilstedeværelse
  • dokumentasjon av kompetanse og kvalifikasjoner
  • opplysninger brukt i markedsføring der dette er lovlig og nødvendig
  • opplysninger knyttet til kjørebok, logistikk eller flåtestyring der dette er relevant

For hver behandling skal formål, behandlingsgrunnlag og lagringsperiode fremgå av behandlingsprotokollen.

34. Mottakere og databehandlere

Virksomheten kan benytte eksterne leverandører og samarbeidspartnere som ledd i sin drift. Dette kan omfatte systemleverandører, lagringstjenester, nettsideløsninger, kjørebokleverandører, forsikring, pensjon, bedriftshelsetjeneste og offentlige myndigheter.

Virksomheten skal sikre at:

  • databehandleravtaler inngås der dette er påkrevd
  • mottakere har lovlig grunnlag for behandling
  • deling dokumenteres og vurderes
  • internasjonale overføringer håndteres i tråd med regelverket

35. Sletting og oppdatering

Personopplysninger skal ikke oppbevares lenger enn nødvendig. Når formålet med behandlingen er oppfylt, skal opplysningene slettes, anonymiseres eller arkiveres i samsvar med lovkrav og interne rutiner.

Ved nye formål, nye systemer eller vesentlige endringer i behandlingen, skal virksomheten:

  • gjøre en ny vurdering av behandlingsgrunnlag
  • oppdatere behandlingsprotokollen
  • oppdatere relevante rutiner og personvernerklæringer
  • informere berørte personer når det er nødvendig

36. Begreper

For å gjøre håndboken enklere å bruke bør virksomheten ha en egen ordliste med sentrale personvernbegreper, for eksempel:

  • personopplysning
  • behandling
  • behandlingsansvarlig
  • databehandler
  • samtykke
  • innsyn
  • sletting
  • DPIA / personvernkonsekvensvurdering
  • særlige kategorier personopplysninger
  • tredjeland
  • innebygd personvern
  • konfidensialitet, integritet og tilgjengelighet

37. Sist oppdatert

Sist oppdatert: [måned år]